21 世 纪 高 等 学 校规 划 教 材 | 物 联网 


物 联 网 安全 教程 


张 凯 主编 


清华 大 学 出 版 社 


21 世纪 高 等 学 校规 划 教材 。 物 联网 


物 联 网 安全 教程 


张 凯 主编 


清华 大 学 出 版 社 
北京 


内 容 简 介 


本 书 是 物 联 网 安全 课程 的 教材 ,内 容 包 括 信息 安全 概述 .信息 加 密 技 术 物理 安全 威胁 与 防范 .计算 机 
网 络 安全 信息 安全 标准 体系 、 信 息 安全 管理 , 物 联网 安全 、 物 联网 感知 层 安全 、 物 联网 网 络 层 安全 、 物 联网 
应 用 层 安全 、 物 联网 安全 技术 应 用 ,练习 题 和 参考 答案 等 。 本 书 可 作为 高 等 院 校 物 联 网 工程 专业 或 计算 机 
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出 北 说 其 


随 着 我 国 改革 开放 的 进一步 深化 ,高 等 教育 也 得 到 了 快速 发 展 , 各 地 高 校 紧 密 结合 地 方 
经 济 建设 发 展 需要 ,科学 运用 市 场 调节 机 制 ,加 大 了 使 用 信息 科学 等 现代 科学 技术 提升 、 改 
造 传统 学 科 专业 的 投入 力度 ,通过 教育 改革 合理 调整 和 配置 了 教育 资源 ,优化 了 传统 学 科 专 
业 , 积 极为 地 方 经 济 建设 输送 人 才 ,为 我 国 经 济 社会 的 快速 、 健 康 和 可 持续 发 展 以 及 高 等 教 
育 自身 的 改革 发 展 做 出 了 巨大 贡献 。 但 是 ,高 等 教育 质量 还 需要 进一步 提高 以 适应 经 济 社 
会 发 展 的 需要 ,不 少 高 校 的 专业 设置 和 结构 不 尽 合理 ,教师 队伍 整体 素质 蝇 待 提高 ,人 才 培 
养 模式 .教学 内 容 和 方法 需要 进一步 转变 ,学 生 的 实践 能 力 和 创新 精神 蝇 待 加 强 。 

教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2007 年 1 月 ,教育 部 下 发 了 《关于 实施 高 等 
学 校本 科教 学 质量 与 教学 改革 工程 的 意见 》 计 划 实 施 * 高 等 学 校本 科教 学 质量 与 教学 改革 
工程 ”简称 "质量 工程 ") ,通过 专业 结构 调整 .课程 教材 建设 .实践 教学 改革 教学 团队 建设 
等 多 项 内 容 , 进 一 步 深 化 高 等 学 校 教学 改革 ,提高 人 才 培 养 的 能 力 和 水 平 ,更 好 地 满足 经 济 
社会 发 展 对 高 素质 人 才 的 需要 。 在 贯彻 和 落实 教育 部 "质量 工程 "的 过 程 中 ,各 地 高 校 发 挥 
师资 力量 强 、 办 学 经 验 丰富 教学 资源 充裕 等 优势 ,对 其 特色 专业 及 特色 课程 ( 群 ) 加 以 规划 、 
整理 和 总 结 , 更 新 教学 内 容 改革 课程 体系 ,建设 了 一 大 批 内 容 新 .体系 新 方法 新 .手段 新 的 
特色 课程 。 在 此 基础 上 ,经 教育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 ,清华 大 学 出 版 社 
在 多 个 领域 精 选 各 高 校 的 特色 课程 ,分 别 规划 出 版 系列 教材 ,以 配合 “质量 工程 ”的 实施 , 满 
足 各 高 校 教学 质量 和 教学 改革 的 需要 。 

为 了 深入 贯彻 落实 教育 部 (关于 加 强 高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 意 
见 ) 精 神 , 紧 密 配合 教育 部 已 经 启动 的 “高 等 学 校 教 学 质量 与 教学 改革 工程 精品 课程 建设 工 
作 ”, 在 有 关 专 家 教授 的 倡议 和 有 关 部 门 的 大 力 支持 下 ,我 们 组 织 并 成 立 了 "清华 大 学 出 版 
社 教材 编审 委员 会 "(以 下 简称 * 编 委 会 ”) , 旨 在 配合 教育 部 制定 精品 课程 教材 的 出 版 规划 ， 
讨论 并 实施 精品 课程 教材 的 编写 与 出 版 工作 。“ 编 委 会 ?成 员 皆 来 自 全 国 各 类 高 等 学 校 教学 
与 科研 第 一 线 的 骨干 教师 ,其 中 许多 教师 为 各 校 相关 院 、 系 主管 教学 的 院 长 或 系 主任 。 

按照 教育 部 的 要 求 ， 编 委 会 一致 认 为 ,精品 课程 的 建设 工作 从 开始 就 要 坚持 高 标准 、 
严 要 求 , 处 于 一 个 比较 高 的 起 点 上 。 精 品 课程 教材 应 该 能 够 反映 各 高 校 教学 改革 与 课程 建 
设 的 需要 ,要 有 特色 风格 有 创新 性 (新 体系 、 新 内 容 、 新 手段 .新 思路 ,教材 的 内 容 体系 有 和 较 
高 的 科学 创新 、 技 术 创 新 和 理念 创新 的 含量 )、 先 进 性 (对 原 有 的 学 科 体 系 有 实质 性 的 改革 和 
发 展 ,顺应 并 符合 21 世纪 教学 发 展 的 规律 ,代表 并 引领 课程 发 展 的 趋势 和 方向 ) ,示范 性 ( 教 
材 所 体现 的 课程 体系 具有 较 广泛 的 辐射 性 和 示范 性 ) 和 一 定 的 前 瞻 性 。 教 材 由 个 人 申报 或 
各 校 推荐 (通过 所 在 高 校 的 “ 编 委 会 ”成 员 推荐 ) ,经 “ 编 委 会 ”认真 评审 ,最 后 由 清华 大 学 出 版 
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社 审定 出 版 。 
目前 ,针对 计算 机 类 和 电子 信息 类 相关 专业 成 立 了 两 个 “ 编 委 会 ”, 即 “清华 大 学 出 版 社 
计算 机 教材 编审 委员 会 > 和 * 清 华 大 学 出 版 社 电子 信 息 教材 编审 委员 会 >。 推 出 的 特色 精品 


教材 包括 : 

(1) 21 世纪 高 等 学 校规 划 教材 。 计算 机 应 用 一 一 高 等 学 校 各 类 专业 ,特别 是 非 计算 机 
专业 的 计算 机 应 用 类 教材 。 

(2) 21 世纪 高 等 学 校规 划 教材 。 计算 机 科学 与 技术 一 一 高 等 学 校 计算 机 相关 专业 的 
教材 。 


(3) 21 世纪 高 等 学 校规 划 教 材 * 电子 信息 一 一 高 等 学 校 电子 信息 相关 专业 的 教材 。 
(4) 21 世纪 高 等 学 校规 划 教材 软件 工程 一 一 高 等 学 校 软 件 工程 相关 专业 的 教材 。 
(5) 21 世纪 高 等 学 校规 划 教材 。 信息 管理 与 信息 系统 。 

(6) 21 世纪 高 等 学 校规 划 教材 。 财经 管理 与 应 用 。 

(7) 21 世纪 高 等 学 校规 划 教材 。 电子 商务 。 

(8) 21 世纪 高 等 学 校规 划 教材 。 物 联网 。 


清华 大 学 出 版 社 经 过 三 十 多 年 的 努力 ,在 教材 尤其 是 计算 机 和 电子 信息 类 专业 教材 出 
版 方面 树立 了 权威 品牌 ,为 我 国 的 高 等 教育 事业 做 出 了 重要 贡献 。 清 华 版 教材 形成 了 技术 
准确 、 内 容 严 谨 的 独特 风格 ,这 种 风格 将 延续 并 反映 在 特色 精品 教材 的 建设 中 。 


清华 大 学 出 版 社 教材 编审 委员 会 
联系 人 : 魏 江 江 
E-mail: weij tup. tsinghua. edu. cn 


物 联网 工程 是 一 个 新 的 本 科 专 业 ,国内 很 多 大 学 刚刚 开办 .“ 物 联网 安全 "是 物 联 网 工 
程 专业 本 科 生 的 一 门 专业 课 ,该 课程 教学 面临 的 问题 较 大 ,主要 包括 两 个 方面 : 一 是 教学 体 
系 尚未 形成 ,教学 内 容 、 教 学 目标 和 知识 点 要 求 不 是 很 清晰 ; 二 是 教材 建设 薄弱 ,目前 市 面 
上 物 联 网 专业 的 教材 相对 较 少 , 物 联网 安全 的 教材 更 少 ,实际 教学 与 教材 建设 差距 很 大 。 编 
者 在 编写 这 本 教材 时 ,就 这 两 个 问题 做 了 一 些 探索 和 尝试 。 

本 书包 括 两 大 部 分 , 共 11 章 。 第 一 部 分 “信息 安全 基础 方面 的 理论 和 原理 。 内 容 涉及 
第 1 章 信息 安全 概述 ,第 2 章 ”信息 加 密 技术 ,第 3 章 物理 安全 威胁 与 防范 ,第 4 章 计 
算 机 网 络 安全 ,第 5 章 ”信息 安全 标准 体系 ,第 6 章 ”信息 安全 管理 。 第 二 部 分 “ 物 联网 安 
全 体系 ,感知 层 ` 网 络 层 和 应 用 层 安 全 的 理论 `. 原 理 和 方法 ,以 及 物 联 网 安全 技术 应 用 案例 。 
内 容 涉及 第 7 章 ” 物 联网 安全 ,第 8 章 物 联 网 感知 层 安 全 ,第 9 章 “” 物 联网 网 络 层 安全 ， 
第 10 章 物 联 网 应 用 层 安全 ,第 11 章 ” 物 联网 安全 技术 应 用 。 

本 书 由 张 凯 教授 策划 ,主编 ,审核 ,修改 和 定稿 。 张 治 博士 编写 了 第 8 章 , 万 少 华 博士 纺 
写 了 第 2 章 2.1 节 的 部 分 内 容 , 其 他 章节 由 张 凯 编写 。 研 究 生 张 雯 婷 做 了 大 量 的 资料 整理 
工作 ,并 编制 了 练习 ( 课 后 练习 和 期 末 模 拟 考试 卷 ) , 刘 爱 芳 老师 对 全 书 进 行 了 文字 校对 。 在 
此 ,对 所 有 参加 本 书 工 作 的 人 员 和 关心 本 书 的 学 者 表示 衷心 的 感谢 。 

本 书 在 编写 过 程 中 ,参考 和 引用 了 大 量 国内 外 著作 、 学 术 论文 ,硕士 /博士 论文 .研究 报 
告 和 网 站 文献 的 内 容 。 由 于 篇 幅 有 限 ,本 书 仅仅 在 结尾 处 列举 了 主要 参考 文献 。 应 该 特别 
说 明 的 是 ,由 于 物 联 网 安全 是 一 个 新 的 领域 ,目前 这 方面 的 教材 很 少 ,也 不 成 熟 。 编 者 希望 
在 编写 这 部 教材 时 ,不 仅 要 介绍 信息 安全 的 基本 理论 和 方法 ,也 要 将 近年 最 新 的 研究 成 果 
“ 原 汁 原 味 ” 地 介绍 给 读者 。 由 于 编者 水 平 有 限 , 有 些 学 术 论 文 的 内 容 介绍 属 直 接 引 用 ,在 书 
中 引用 时 大 多 都 加 注 了 原作 者 和 出 处 的 说 明 ,编者 也 未 对 其 内 容 做 较 大 修改 ,以 保持 原作 者 
的 风格 ,以便 读者 掌握 其 新 的 理论 和 技术 思想 。 还 有 一 种 情况 就 是 , 某 一 个 主题 的 研究 有 几 
个 作者 和 文献 ,编者 编写 时 引用 了 几 个 作者 的 观点 和 资料 ,为 了 文字 通顺 流畅 和 主题 突出 ， 
这 时 的 引用 和 注释 可 能 不 够 准确 。 另 外 ,本 书 也 参考 了 互联 网 上 一 些 专业 人 员 的 经 验 和 心 
得 以 及 部 分 网 站 的 相关 资料 。 如 果 有 作者 发 现 其 成 果 被 引用 而 未 注 明 ,请 联系 编者 (电子 邮 
件 : zhangkai@znufe. edu. cn) ,我 们 将 在 再 版 时 补 上 。 在 此 ,编者 向 所 有 被 参考 和 引用 的 作 
者 和 网 站 表示 由 囊 的 感谢 ,你 们 的 辛勤 劳动 为 本 书 提供 了 丰富 的 资料 。 

本 教材 编写 的 教学 内 容 安排 是 36 一 51 学 时 。 对 于 学 时 较 多 的 学 校 ,可 讲授 全 书 的 内 
容 。 对 于 课时 只 有 36 学 时 的 学 校 ,可 安排 第 11 章 自学 ; 第 2 章 信 息 加 密 技术 是 教学 难点 ， 
教师 可 删 减 教学 内 容 ,以 降低 学 习 难 度 ; 第 5 和 第 6 章 介 绍 了 大 量 信息 安全 方面 的 标准 , 教 
师 可 酌情 删 减 其 内 容 , 以 介绍 主要 思想 为 主 。 本 书 是 对 “ 物 联网 安全 "课程 和 教材 的 一 种 探 


物 联网 安全 教程 
索 。 尽 管 编者 付出 了 巨大 努力 , 因 能 力 有 限 ,本 书 难 免 存 在 一 些 错误 , 望 读 者 对 此 提出 宝贵 
意见 。 

目前 ,清华 大 学 出 版 社 的 数字 化 教学 平台 已 经 运行 ,本 书 的 课件 将 在 出 版 时 上 传 ,读者 
可 从 中 下 载 。 另 外 ,如 果 授 课 教 师 有 什么 具体 或 特殊 要 求 ,包括 期 末 考 试题 电子 稿 .实验 大 
岗 和 背景 资料 等 ,请 直接 与 编者 联系 ,我 们 将 尽量 满足 您 的 要 求 。 


编 者 
2013 年 8 月 
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本 章 将 介绍 信息 安全 基本 概念 .安全 体系 .历史 和 现状 ,以 及 信息 安全 法 规 。 要 求学 生 
对 信息 安全 有 一 个 基本 了 解 。 


(1 信息 安全 基本 概念 


本 节 将 介绍 信息 安全 基本 概念 安全 属性 和 内 容 。 


1.1.1 信息 安全 概述 


信息 安全 本 身 包括 的 范围 很 大 ,大 到 国家 军事 、 政 治 等 机 密 安全 ,小 到 如 防范 商业 企业 
机 密 泄露 .防范 青少年 对 不 良 信息 的 浏览 .个 人 信息 的 泄露 等 。 网 络 环境 下 的 信息 安全 体系 
是 保证 信息 安全 的 关键 ,包括 计算 机 安全 操作 系统 、 各 种 安全 协议 .安全 机 制 (数字 签名 、 信 
息 认 证 和 数据 加 密 等 ) ,直至 安全 系统 ,其 中 任何 一 个 安全 漏洞 都 可 以 威胁 全 局 安全 。 信 息 
安全 服务 至 少 应 该 包括 支持 信息 网 络 安全 服务 的 基本 理论 ,以 及 基于 新 一 代 信息 网 络 体 系 
结构 的 网 络 安全 服务 体系 结构 。 


1. 信息 安全 的 定义 


目前 ,信息 安全 没有 统一 的 定义 ,不 同学 者 和 部 门 有 不 同 的 定义 。 

有 人 认为 ,在 技术 层次 上 ,信息 安全 的 含义 就 是 保证 在 客观 上 杜绝 对 信息 安全 属性 的 安 
全 威胁 ,使 得 信息 的 主人 在 主观 上 对 其 信息 的 本 源 性 放心 。 

还 有 人 认为 ,信息 安全 是 指 秘密 信息 在 生产 、 传 输 、 使 用 ,存储 过 程 中 不 被 泄露 或 破坏 。 
信息 安全 所 面临 的 威胁 主要 包括 : 利用 网 络 的 开放 性 ,采取 病毒 和 黑客 人 侵 等 手段 渗入 计 
算 机 系统 ,进行 干扰 , 自 改 、 窃 取 或 破坏 ; 利用 在 计算 机 CPU 芯片 或 在 操作 系统 、 数 据 库 管 
理 系统 、 应 用 程序 中 预先 安置 从 事情 报 收集 、 受 控 激 发 破坏 的 程序 来 破坏 系统 或 收集 和 发 送 
敏感 信息 ; 利用 计算 机 及 其 外 围 设备 电磁 泄漏 ,拦截 各 种 情报 资料 等 。 

美国 国家 安全 电信 和 信息 系统 安全 委员 会 (NSTISSC) 对 信息 安全 给 出 的 定义 是 对 信 
息 、 系 统 以 及 使 用 、 存 储 和 传输 信息 的 硬件 的 保护 。 但 是 要 保护 信息 及 其 相关 系统 ,诸如 政 
策 、 人 事 、 培 训 和 教育 以 及 技术 等 手段 都 是 必要 的 。 

目前 ,国内 外 有 关 方面 的 论述 大 致 分 为 两 类 : 一 类 是 指 具 体 的 信息 技术 系统 的 安全 ; 
而 另 一 类 则 是 指 某 一 特定 信息 体系 的 安全 。 但 有 人 认为 这 两 种 定义 均 过 于 狭窄 ,信息 安全 
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定义 应 该 为 : 一 个 国家 的 社会 信息 化 状态 不 受 外 来 的 威胁 与 侵害 ,一 个 国家 的 信息 技术 体 
系 不 受 外 来 的 威胁 与 侵害 。 原 因 是 : 信息 安全 首先 应 该 是 一 个 国家 宏观 的 社会 信息 化 状态 
是 否 处 于 自主 控制 之 下 ,是 否 稳 定 的 问题 ,其 次 才 是 信息 技术 安全 的 问题 。 

信息 安全 是 指 信息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 更改, 泄露 ,系统 连续 可 靠 正常 地 运行 ,信息 服务 不 中 断 。 信 息 安全 主要 
包括 5 个 方面 的 内 容 , 即 需 保证 信息 的 保密 性 、 真 实 性 、 完 整 性 ,未 授权 拷贝 和 所 寄生 系统 的 
安全 人 性 。 

其 根本 目的 就 是 使 内 部 信息 不 受 外 部 威胁 ,因此 信息 通常 要 加 密 。 为 保障 信息 安全 ,要 
求 有 信息 源 认 证 访问 控制 ,不 能 有 非法 软件 驻 留 ,不 能 有 非法 操作 。 

信息 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 、 信 息 安 全 技术 、 应 用 
数学 ,数论 信息论 等 多 种 学 科 的 综合 性 学 科 。 


2. 信息 安全 的 威胁 


信息 安全 的 威胁 来 自 方方面面 ,不 可 一 一 罗列 。 但 这 些 威胁 根据 其 性 质 ,基本 上 可 以 归 
结 为 以 下 几 个 方面 : 

(1) 信息 泄露 。 保 护 的 信息 被 泄露 或 透露 给 某 个 非 授 权 的 实体 。 

(2) 破坏 信息 的 完整 性 。 数 据 被 非 授权 地 进行 增删 .修改 或 破坏 而 受到 损失 。 

(3) 拒绝 服务 。 信 息 使 用 者 对 信息 或 其 他 资源 的 合法 访问 被 无 条 件 地 阻止 。 

(4) 非法 使 用 ( 非 授 权 访问 )。 某 一 资源 被 某 个 非 授权 的 人 ,或 以 非 授 权 的 方式 使 用 。 

(5) 窃听 。 用 各 种 可 能 的 合法 或 非法 的 手段 窃取 系统 中 的 信息 资源 和 敏感 信息 。 例 如 
对 通信 线路 中 传输 的 信号 搭 线 监 听 , 或 者 利用 通信 设备 在 工作 过 程 中 产生 的 电磁 泄漏 截取 
有 用 信息 等 。 

(6) 业务 流 分 析 。 通 过 对 系统 进行 长 期 监听 ,利用 统计 分 析 方 法 对 诸如 通信 频 度 .通信 
的 信息 流向 .通信 息 量 的 变化 等 参数 进行 研究 ,从 中 发 现 有 价值 的 信息 和 规律 。 

(7) 假冒 。 通 过 欺骗 通信 系统 (或 用 户 ) 达 到 非法 用 户 冒 充 成 为 合法 用 户 , 或 者 特权 
小 的 用 户 冒 充 成 为 特权 大 的 用 户 的 目的 。 我 们 平常 所 说 的 黑客 大 多 采用 的 就 是 假冒 
攻击 。 

(8) 旁 路 控制 。 攻 击 者 利用 系统 的 安全 缺陷 或 安全 性 上 的 脆弱 之 处 获得 非 授权 的 权利 
或 特权 。 例 如 ,攻击 者 通过 各 种 攻击 手段 发 现 原本 应 保密 ,但 是 却 又 暴露 出 来 的 一 些 系 统 
“特性 ”, 利 用 这 些 “ 特 性 ”, 攻 击 者 可 以 绕 过 防线 守卫 者 ,侵入 系统 的 内 部 。 

(9) 授权 侵犯 。 被 授权 以 某 一 目的 使 用 某 一 系统 或 资源 的 某 个 人 , 却 将 此 权限 用 于 其 
他 非 授权 的 目的 ,也 称 作 “内 部 攻击 ”。 

(10) 抵赖 。 这 是 一 种 来 自用 户 的 攻击 ,涵盖 范围 比较 广泛 ,如 否认 自己 曾经 发 布 过 的 
某 条 消息 ,伪造 一 份 对 方 来 信 等 。 

(11) 计算 机 病毒 。 这 是 一 种 在 计算 机 系统 运行 过 程 中 能 够 实现 传染 和 侵害 功能 的 程 
序 , 行 为 类 似 病 毒 , 故 称 作 计 算 机 病毒 。 

(12) 信息 安全 法 律 法 规 不 完善 。 由 于 当前 约束 操作 信息 行为 的 法 律 法 规 还 很 不 完善 ， 
存在 很 多 漏洞 ,很 多 人 打 法 律 的 擦边球 ,这 就 给 信息 窃取 ,信息 破坏 者 以 可 乘 之 机 。 
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3. 信息 安全 的 重要 性 


我 国 的 改革 开放 带 来 了 各 方面 信息 量 的 急剧 增加 ,并 要 求 大 容量 、 高 效率 地 传输 这 些 信 
息 。 为 了 适应 这 一 形势 ,通信 技术 发 生 了 前 所 未 有 的 爆炸 性 发 展 。 目 前 , 除 有 线 通 信 外 , 短 
波 ,超短波 、 微 波 和 卫星 等 无 线 电 通信 也 正在 越 来 越 广泛 地 应 用 。 与 此 同时 ,国外 敌对 势力 
为 了 窃取 我 国 的 政治 、 军 事 、 经 济 、 科 学 技术 等 方面 的 秘密 信息 ,运用 侦察 台 、 侦 察 船 \ 侦 察 
机 ,卫星 等 手段 ,形成 固定 与 移动 、 远 距离 与 近 距 离 、 空 中 与 地 面相 结合 的 立体 侦察 网 ,截取 
我 国 通信 传输 中 的 信息 。 

21 世纪 ,很 多 事情 已 经 托付 给 计算 机 来 完成 ,敏感 信息 正经 过 脆弱 的 通信 线路 在 计算 
机 系统 之 间 传 送 , 专 用 信息 在 计算 机 内 存储 或 在 计算 机 之 间 传 送 , 电 子 银行 业务 使 财务 账目 
可 通过 通信 线路 查阅 ,执法 部 门 从 计算 机 中 了 解 罪犯 的 前 科 , 医 生 们 用 计算 机 管理 病历 ,所 
有 这 一 切 , 最 重要 的 问题 是 不 能 在 对 非法 ( 非 授 权 ) 获 取 ( 访 问 ) 不 加 防范 的 条 件 下 传输 信息 。 
传输 信息 的 方式 很 多 ,有 局 域 计算 机 网 、 互 联网 和 分 布 式 数据 库 , 有 蜂窝 式 无 线 、 分 组 交换 式 
无 线 、 卫 星 电 视 会 议 、. 电 子 邮 件 及 其 他 各 种 传输 技术 。 信 息 在 存储 、 处 理 和 交换 过 程 中 都 存 
在 泄密 或 被 截 收 、 窃 听 , 算 改 和 伪造 的 可 能 性 。 

信息 作为 一 种 资源 , 它 的 普遍 性 、 共 享 性 ,增值 性 、 可 处 理性 和 多 效用 性 ,使 其 对 于 人 类 
具有 特别 重要 的 意义 。 信 息 安全 的 实质 就 是 要 保护 信息 系统 或 信息 网 络 中 的 信息 资源 免 受 
各 种 类 型 的 威胁 ,干扰 和 破坏 , 即 保证 信息 的 安全 性 。 根 据 国际 标准 化 组 织 的 定义 ,信息 安 
全 性 的 含义 主要 是 指 信息 的 完整 性 可用性、 保密 性 和 可 靠 性 。 信 息 安 全 是 任何 国家 、 政 府 、 
部 门 ` 行 业 都 必须 十 分 重视 的 问题 ,是 一 个 不 容 忽视 的 国家 安全 战略 。 但 是 ,对 于 不 同 的 部 
门 和 行业 来 说 ,其 对 信息 安全 的 要 求 和 重点 却 是 有 区 别 的 。 


1.1.2 信息 安全 属性 和 内 容 
1. 信息 安全 的 属性 


所 有 的 信息 安全 技术 都 是 为 了 达到 一 定 的 安全 目标 ,其 核心 包括 保密 性 ,完整 性 、 可 用 
性 、 可 控 性 和 不 可 抵赖 性 5 个 安全 目标 。 

1) 信息 保密 性 

信息 保密 性 是 指 系统 中 有 密级 要 求 的 信息 只 能 经 过 特定 的 方式 传输 给 特定 的 对 象 , 确 
保 合法 用 户 对 该 信息 的 合法 访问 和 使 用 ,阻止 非 授权 的 主体 阅读 信息 。 它 是 信息 安全 一 诈 
生 就 具有 的 特性 ,也 是 信息 安全 主要 的 研究 内 容 之 一 。 更 通俗 地 讲 , 就 是 说 未 授权 的 用 户 不 
能 够 获取 敏感 信息 。 对 纸 质 文档 信息 ,只 需要 保护 好 文件 ,不 被 非 授权 者 接触 即 可 。 而 对 计 
算 机 及 网 络 环境 中 的 信息 ,不仅 要 制止 非 授权 者 对 信息 的 阅读 ,还 要 阻止 授权 者 将 其 访问 的 
信息 传递 给 非 授权 者 ,以 致 信息 被 泄露 。 

2) 信息 完整 性 

信息 完整 性 主要 是 指 系统 保证 信息 在 存储 和 传输 的 过 程 中 保持 不 被 非法 存 取 、 偷 窃 . 算 
改 、 删 除 等 ,以 及 不 因 意 外 事件 的 发 生 而 使 信息 丢失 。 完 整 性 要 求 信息 在 存储 或 传输 的 过 程 
中 保持 不 被 修改 ,不 被 破坏 、 不 被 插入 不 延迟 .不 乱 序 和 不 丢失 的 特性 ,防止 信息 被 未 经 授 
权 的 算 改 ,保护 信息 保持 原始 的 状态 ,使 信息 保持 其 真实 性 。 如 果 这 些 信息 被 蓄意 地 修改 、 
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插入 和 删除 等 ,形成 虚假 信息 将 带 来 严重 的 后 果 。 

3) 信息 可 用 性 

信息 可 用 性 是 指 授 权 主 体 在 需要 信息 时 能 及 时 得 到 服务 的 能 力 。 可 用 性 是 在 信息 安全 
保护 阶段 对 信息 安全 提出 的 新 要 求 , 也 是 在 网 络 化 空间 中 必须 满足 的 一 项 信息 安全 要 求 。 

4) 信息 可 控 性 

信息 可 控 性 是 指 系 统 对 信息 的 传播 及 其 内 容 具 有 可 控制 能 力 的 特性 ,是 对 信息 和 信息 
系统 实施 安全 监控 管理 ,防止 非法 利用 信息 和 信息 系统 。 

5) 信息 不 可 抵赖 性 

信息 不 可 抵赖 性 也 称 为 不 可 否认 性 ,是 指 在 网 络 环境 中 ,信息 交换 的 双方 不 能 否认 其 在 
交换 过 程 中 发 送信 息 或 接收 信息 的 行为 。 信 息 交换 的 双方 对 信息 的 传递 与 接收 都 具有 不 可 
抵赖 的 特性 , 即 发 出 信息 的 一 方 不 可 抵赖 曾经 发 出 某 种 信息 ,接收 方 不 可 抵赖 曾经 收 到 某 种 
信息 , 且 不 可 以 对 信息 做 出 任意 非法 操作 ,并 能 按照 发 出 方 的 要 求 提供 回执 。 

信息 安全 的 保密 性 、 完 整 性 和 可 用 性 主要 强调 对 非 授权 主体 的 控制 。 而 对 授权 主体 的 
不 正当 行为 如 何 控制 呢 ? 信 息 安全 的 可 控 性 和 不 可 否认 性 恰恰 是 通过 对 授权 主体 的 控制 ， 
实现 对 保密 性 ,完整 性 和 可 用 性 的 有 效 补充 ,主要 强调 授权 用 户 只 能 在 授权 范围 内 进行 合法 
的 访问 ,并 对 其 行为 进行 监督 和 审查 。 除 了 上 述 的 信息 安全 五 特性 外 ,还 有 信息 安全 的 可 审 
计 性 、 可 鉴别 性 等 。 信 息 安全 的 可 审计 性 是 指 信息 系统 的 行为 人 不 能 否认 自己 的 信息 处 理 
行为 。 与 不 可 否认 性 的 信息 交换 过 程 中 行为 可 认定 性 相 比 ,可 审计 性 的 含义 更 宽泛 一 些 。 
信息 安全 的 可 鉴别 性 是 指 信息 的 接收 者 能 对 信息 的 发 送 者 的 身份 进行 判定 。 它 也 是 一 个 与 
不 可 否认 性 相关 的 概念 。 


2. 信息 安全 的 内 容 


1) 从 结构 层次 看 

信息 安全 内 涵 从 安全 结构 层次 划分 ,包括 物理 安全 ,安全 控制 和 安全 服务 三 个 方面 。 物 
理 安全 是 系统 安全 的 基本 保障 ,是 信息 安全 的 基础 。 安 全 控制 是 指控 制 和 管理 存储 、 传 输 信 
息 的 操作 与 进程 ,是 在 网 络 信息 处 理 层 次 上 对 信息 进行 初步 的 安全 保护 。 安 全 服务 是 指 在 
应 用 层 对 信息 的 保密 性 、 完 整 性 真实 性 等 进行 保护 和 鉴别 ,防止 受到 各 种 攻击 和 威胁 。 

2) 从 内 容 方 面 看 

信息 安全 内 涵 从 其 主要 内 容 划 分 ,包括 物理 安全 、 网 络 安全 、 系 统 安全 信息 安全 和 管理 
安全 5 个 方面 。 物 理 安全 既 包括 计算 机 网 络 设备 、 设 施 、 环 境 等 存在 的 安全 威胁 ,也 包括 在 
物理 介质 层次 上 的 存储 和 传输 存在 的 安全 问题 。 网 络 安全 包括 结 点 安全 .运行 安全 和 线路 
安全 。 系 统 安 全 包括 硬件 安全 和 软件 安全 。 信 息 安 全 是 指 系 统 中 存储 传输 和 交换 信息 的 
保密 性 。 管 理 安全 包括 用 户 的 同一 性 检查 、 使 用 权限 检查 和 建立 运行 日 志 等 内 容 。 


(2 信息 安全 体系 


本 节 将 介绍 信息 安全 体系 结构 ,信息 安全 管理 体系 、 信 息 安 全 测评 认证 体系 和 信息 安全 
研究 体系 。 
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1.2.1 信息 安全 体系 结构 


ISO 7498 标准 是 目前 国际 上 普遍 遵循 的 计算 机 信息 系统 互 连 标准 ,1989 年 12 月 ISO 
颁布 了 该 标准 的 第 二 部 分 , 即 ISO 7498 一 2 标准 ,并 首次 确定 了 开放 系统 互 连 (OSIT) 参 考 模 
型 的 信息 安全 体系 结构 。 我 国 将 其 作为 国家 标准 ,并 于 以 执行 。 下 面 就 来 详细 介绍 一 下 
ISO 7498 标准 ,其 中 包括 了 5 大 类 安全 服务 以 及 提供 这 些 服务 所 需要 的 8 大 类 安全 机 制 。 


1. 安全 服务 


安全 服务 是 由 参与 通信 的 开放 系统 的 某 一 层 所 提供 的 服务 , 它 确保 了 该 系统 或 数据 传 
输 具 有 足够 的 安全 性 。ISO 7498 一 2 确定 了 5 大 类 安全 服务 , 即 鉴别 .访问 控制 .数据 保密 
性 ,数据 完整 性 和 不 可 否认 。 

(1) 鉴别 。 这 种 安全 服务 可 以 鉴别 参与 通信 的 对 等 实体 和 数据 源 。 包 括 对 等 实体 鉴别 
和 数据 源 鉴 别 。 

(2) 访问 控制 。 这 种 安全 服务 提供 的 保护 能 够 防止 未 经 授权 而 利用 通过 OSI 可 访问 的 
资源 。 这 些 资 源 可 能 是 通过 OSI 协议 可 访问 的 OSI 资源 或 非 OSI 资源 。 这 种 安全 服务 可 
用 于 对 某 个 资源 的 各 类 访问 (通信 资源 的 利用 ,信息 资源 的 阅读 ,书写 或 删除 ,处 理 资源 的 执 
行 等 ) ,或 用 于 对 某 个 资源 的 所 有 访问 。 

(3) 数据 保密 性 。 这 种 安全 服务 能 够 提供 保护 ,以 防止 数据 未 经 授权 而 泄露 。 包 括 连 
接 保密 性 无 连接 保密 性 .选择 字段 保密 性 和 业务 流 保密 性 。 

(4) 数据 完整 性 。 这 种 安全 服务 用 于 对 付 主动 威胁 。 包 括 带 恢复 的 连接 完整 性 、 不 带 
恢复 的 连接 完整 性 .选择 字段 连接 完整 性 ,无 连接 完整 性 和 选择 字段 无 连接 完整 性 。 

(5) 不 可 和 否认。 包括 带 数据 源 证 明 的 不 可 否认 和 带 递 交 证 明 的 不 可 否认 。 


2. 安全 机 制 


ISO 7498 一 2 确定 了 8 大 类 安全 机 制 , 即 加 密 ,数据 签名 机 制 . 访 问 控制 机 制 、 数 据 完 整 
性 机 制 、 鉴 别 交 换 机 制 、 业 务 填充 机 制 .路 由 控制 机 制 和 公证 机 制 。 

(1) 加 密 。 包 括 保密 性 、 加 密 算法 和 密 钥 管理 几 个 部 分 。 

(2) 数字 签名 机 制 。 这 种 安全 机 制 决定 于 两 个 过 程 : 对 数据 单元 签名 和 验证 已 签名 的 
数据 单元 。 第 一 个 过 程 可 以 利用 签名 者 私有 的 ( 即 独 有 和 保密 的 ) 信 息 , 而 第 二 个 过 程 则 要 
利用 公之于众 的 规程 和 信息 ,但 通过 它们 并 不 能 推出 签名 者 的 私有 信息 。 

(3) 访问 控制 机 制 。 确 定 访问 权 ,建立 多 个 限制 手段 ,访问 控制 在 数据 源 或 任何 中 间 点 
用 于 确定 发 信者 是 否 被 授权 与 收 信者 进行 通信 ,或 被 授权 可 以 利用 所 需要 的 通信 资源 。 

(4) 数据 完整 性 机 制 。 一 是 数据 完整 性 机 制 的 两 个 方面 , 即 单个 的 数据 单元 或 字段 的 
完整 性 以 及 数据 单元 串 或 字段 串 的 完整 性 。 二 是 确定 单个 数据 单元 的 完整 性 。 三 是 编 序 形 
式 。 四 是 保护 形式 。 

(5) 鉴别 交换 机 制 。 这 种 安全 机 制 是 通过 信息 交换 以 确保 实体 身份 的 一 种 机 制 。 

(6) 业务 填充 机 制 。 这 是 一 种 制造 假 的 通信 实例 .产生 欺骗 性 数据 单元 或 在 数据 单元 
中 产生 假 数 据 的 安全 机 制 。 该 机 制 可 用 于 提供 对 各 种 等 级 的 保护 ,以 防止 业务 分 析 。 该 机 
制 只 有 在 业务 填充 受到 保密 性 服务 保护 时 才 有 效 。 
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(7) 路 由 控制 机 制 。 包 括 路 由 选择 、 路 由 连接 和 安全 策略 。 

(8) 公证 机 制 。 保 证 由 第 三 方 公证 人 提供 ,公证 人 能 够 得 到 通信 实体 的 信任 ,而 且 可 以 
掌握 按照 某 种 可 证 实 方式 提供 所 需 保证 的 必要 的 信息 。 每 个 通信 场合 都 可 以 利用 数字 签 
名 、 加 密 和 完整 性 机 制 以 适应 公证 人 所 提供 的 服务 。 在 用 到 这 样 一 个 公证 机 制 时 ,数据 便 经 
由 受 保护 的 通信 场合 和 公证 人 在 通信 实体 之 间 进 行 传送 。 


1.2.2 信息 安全 管理 体系 


信息 安全 的 建设 是 一 个 系统 工程 , 它 需 要 对 整个 网 络 中 的 各 个 环节 进行 统一 的 综合 考 
处, 规划 和 构架 ,并 要 时 时 兼顾 组 织 内 不 断 发 生 的 变化 。 任 何 单个 环节 上 的 安全 缺陷 都 会 对 
系统 的 整体 安全 构成 威胁 。 据 权威 机 构 统计 表明 : 网 络 与 信息 安全 事件 中 大 约 有 70% 以 上 
的 问题 都 是 由 管理 方面 的 原因 造成 的 ,这 正 应 了 人 们 常 说 的 “三 分 技术 ,七 分 管理 ”的 篇 言 。 

网 络 与 信息 安全 一 信息 安全 技术 十 信息 安全 管理 体系 

1995 年 ISO 制定 了 《信息 安全 管理 体系 标准 》,2000 年 12 月 国际 标准 化 组 织 将 其 第 一 
部 分 正式 转化 为 国际 标准 。 该 标准 提供 了 127 种 安全 控制 指南 ,并 对 计算 机 网 络 与 信息 安 
全 的 控制 措施 做 出 了 详尽 的 描述 。 具 体 来 说 ,该 标准 的 内 容 主要 包括 信息 安全 政策 .信息 安 
全 组 织 .信息 资产 分 类 与 管理 个 人 信息 安全 ,物理 和 环境 安全 .通信 和 操作 安全 管理 、 存 取 
控制 ,信息 系统 的 开发 和 维护 .持续 运营 管理 等 。 


1. 建立 信息 安全 管理 框架 


信息 安全 管理 框架 的 搭建 必须 按照 下 面 的 程序 进行 : 
(1) 定义 信息 安全 政策 。 

(2) 定义 信息 安全 管理 体系 的 范围 。 

(3) 进行 信息 安全 风险 评估 。 

(4) 信息 安全 风险 管理 。 

(5) 确定 管制 目标 和 选择 管制 措施 。 

(6) 准备 信息 安全 适用 性 声明 。 


2. 具体 实施 构架 的 信息 安全 管理 


信息 安全 管理 体系 管理 框架 的 建设 只 是 建设 信息 安全 管理 体系 的 第 一 步 。 在 具体 实施 
信息 安全 管理 体系 的 过 程 中 ,还 必须 充分 考虑 其 他 方方面面 的 因素 ,如 实施 的 各 项 费用 因 
素 , 与 组 织 员工 原 有 工作 习惯 的 冲突 、 不 同 部 门 /机 构 之 间 在 实施 过 程 中 的 相互 协作 问题 等 。 


3. 在 信息 安全 管理 体系 基础 上 建立 相关 的 文档 


在 信息 安全 管理 体系 建设 和 实施 的 过 程 中 ,还 必须 建立 起 各 种 相关 的 文档 ,文件 ,如 信 
息 安 全 管理 体系 管理 范围 中 所 规定 的 文档 内 容 、 对 管理 框架 的 总 结 、 在 信息 安全 管理 体系 管 
理 范围 内 规定 的 管制 采取 过 程 、 信 息 安 全 管理 体系 管理 和 具体 操作 的 过 程 等 。 文 档 可 以 以 
各 种 形式 进行 保存 ,但 必须 划分 为 不 同 的 等 级 或 类 型 。 同 时 ,为 了 今后 信息 安全 认证 工作 的 
顺利 进行 ,文档 还 必须 能 够 非常 容易 地 被 指定 的 第 三 方 访问 和 理解 。 
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4. 安全 事件 的 记录 和 处 理 


另外 ,还 必须 对 实施 信息 安全 管理 体系 (ISMS) 过 程 中 发 生 的 各 种 与 信息 安全 有 关 的 事 
件 进行 全 面 记录 。 安 全 事件 的 记录 对 高 效 实现 ISMS 具有 很 重要 的 作用 , 它 为 组 织 进行 信 
息 安 全 政策 的 定义 、 安 全 管制 措施 的 选择 等 修正 提供 了 现实 的 依据 。 安 全 事件 记录 还 必须 
清晰 ,并 进行 适当 保存 以 及 加 以 维护 ,使 得 当 记录 被 破坏 、 损 坏 或 丢失 时 能 够 容易 地 挽救 。 


1.2.3 信息 安全 测评 认证 体系 
1. 信息 安全 性 的 度量 标准 


信息 技术 安全 性 评估 通用 准则 ,通常 简称 为 通用 准则 (CC) ,是 评估 信息 技术 产品 和 系 
统 安全 特性 的 基础 准则 。 此 标准 是 现 阶段 最 完善 的 信息 技术 安全 性 评估 标准 ,我 国 也 将 采 
用 这 一 标准 对 产品 ,系统 和 系统 方案 进行 测试 .评估 和 认可 。 通 用 准则 的 内 容 分 为 三 部 分 ; 
第 1 部 分 是 “简介 和 一 般 模型 ”"; 第 2 部 分 是 “安全 功能 要 求 ”; 第 3 部 分 是 “安全 保证 要 求 ”。 


2. 国际 测评 认证 体系 的 发 展 


1995 年 ,CC 项 目 组 成 立 了 代 国 际 互 认 工作 组 ,该 工作 组 于 1997 年 制定 了 过 滤 性 CC 互 
认 协 定 。 同 年 10 月 ,美国 的 NSA 和 NIST 加 拿 大 的 CSE 和 英国 的 CESG 签署 了 该 协定 。 
1998 年 5 月 ,德国 的 GISA 法国 的 SCSSI 也 签署 了 此 协定 。 由 于 当时 是 依照 了 CC1.0 版 ， 
因此 互 认 的 范围 也 就 限于 评估 保证 级 1 一 3 。 

1999 年 10 月 ,澳大利亚 和 新 西 兰 的 DSD 也 加 入 了 CC 互 认 协定 。 此 时 互 认 范 围 已 发 
展 为 评估 保证 级 1-4, 但 证 书 发 放 机 构 还 限于 政府 机 构 。 

2000 年 ,荷兰 .西班牙 ,意大利 、 挪 威 ,芬兰 .瑞典 和 和 希腊 等 国 也 加 入 了 该 互 认 协 定 , 日 
本 、 韩 国 . 以 色 列 等 国 也 正在 积极 准备 加 入 此 协定 。 目 前 的 证 书 发 放 机 构 已 不 再 限于 政府 机 
构 , 非 政府 的 认证 机 构 也 可 以 加 入 此 协定 ,但 必须 有 政府 机 构 的 参与 或 授权 。 


3. 组 织 结构 


从 目前 已 建立 的 CC 信息 安全 测评 认证 体系 的 有 关 国家 来 看 ,每 个 国家 都 具有 自己 的 
国家 信息 安全 测评 认证 体系 ,而 且 基 本 上 都 成 立 了 专门 的 信息 安全 测评 认证 机 构 , 并 由 认证 
机 构 管理 通过 了 实验 室 认 可 的 多 个 CC 评估 /测试 实验 室 ,认证 机 构 一 般 受 国家 安全 或 情报 
部 门 和 国家 标准 化 部 门 控制 。 归 纳 起 来 ,常见 的 组 织 结构 如 图 1-1 所 示 。 在 这 样 的 组 织 结 
国家 安全 /情报 部 门 国家 标准 化 部 门 
AN 一 三 
政府 授权 的 认证 机 构 


提交 和 技术 
. 监管 


CC 评估 /测试 实验 室 


1-1 信息 安全 测评 认证 机 构 
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MV 


物 联网 安全 教程 


构 中 ,认证 机 构 在 国家 安全 主管 部 门 的 监管 和 国家 技术 监督 主管 部 门 的 认可 /授权 下 ,负责 
对 安全 产品 的 安全 性 实施 评估 和 认证 ,并 颁发 认证 证 书 。 认 证 机 构 作 为 公正 的 第 三 方 , 它 的 
存在 对 于 规范 信息 安全 市 场 ,强化 产品 生产 者 和 使 用 者 的 安全 意识 都 将 起 到 积极 的 作用 。 


4. 信息 安全 测评 认证 体系 
目前 ,基于 CC 的 信息 安全 测评 认证 体系 如 图 1-2 所 示 。 


已 批准 实验 室 名 单 
| 一 一 | 已 批准 测试 方法 目录 


CC 及 通用 评估 方法 认证 报告 
其 他 测评 认证 标准 评价 认证 机 构 记 认 证 已 品目 录 
站 一 ”| 通用 准则 证 书 
| 方案 
实验 室 认 可 机 构 人 
本 国政 府 、 本 国 非 政府 
技术 。 | 外 国政 府 、 外 国 非 政府 
监管 。 | 信息 安全 有 关 组 织 
ISOTEC 导 则 25 要 求 se 四 


IT 产品 或 保护 轮廓 
图 1-2 信息 安全 测评 认证 体系 


5. 中 国信 息 安全 测评 认证 体系 


2002 年 4 月 3 日 ,国家 信息 安全 测评 认证 体系 工作 组 成 立 暨 第 一 次 工作 会 议 在 北京 召 
开 ,16 个 部 门 的 专家 领导 参加 了 会 议 。 这 标志 着 国家 信息 安全 认证 体系 的 建立 。 随 后 , 研 
究 小 组 的 成 员 讨论 并 初步 确定 了 国家 信息 安全 认证 体系 框架 初稿 。 

中 国 国家 信息 安全 测评 认证 中 心 是 经 国家 授权 ,依据 国家 认证 的 法 律 、 法 规 和 信息 安全 
管理 的 政策 ,并 按照 国际 通用 准则 建立 的 中 立 的 技术 机 构 。 它 代表 国家 对 信息 技术 信息 系 
统 、 信 息 安全 产品 以 及 信息 安全 服务 的 安全 性 实施 测试 .评估 和 认证 ,为 社会 提供 相关 的 技 
术 服务 ,为 政府 有 关 主 管 部 门 的 信息 安全 行政 管理 和 行政 执法 提供 必要 的 技术 支持 “中华 
人 民 共 和 国 国家 信息 安全 证 ”是 国家 对 信息 安全 技术 、 产 品 或 系统 安全 质量 的 最 高 认可 。 中 
国 国家 信息 安全 测评 认证 中 心 开 展 以 下 4 种 认证 业务 : 产品 型 号 认证 .产品 认证 、 信 息 系统 
安全 认证 和 信息 安全 服务 认证 。 


1.2.4 信息 安全 研究 体系 


信息 安全 领域 中 人 们 所 关注 的 焦点 主要 有 以 下 几 方 面 : 密码 理论 与 技术 ; 安全 协议 理 
论 与 技术 ; 安全 体系 结构 理论 与 技术 ; 信息 对 抗 理论 与 技术 ; 网 络 安 全 与 安全 产品 。 


1. 密码 理论 与 技术 研究 


密码 理论 与 技术 主要 包括 两 部 分 , 即 基于 数学 的 密码 理论 与 技术 (包括 公 钥 密码 、 分 组 
密码 ,序列 密码 ,认证 码 .数字 签名 、Hash 函数 .身份 识别 、 密 钥 管理 和 PKI 技术 等 ) 和 非 数 
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学 的 密码 理论 与 技术 (包括 信息 隐形 、 量 子 密码 和 基于 生物 特征 的 识别 理论 与 技术 )。 
2. 安全 协议 理论 与 技术 研究 


安全 协议 研究 主要 包括 两 方面 内 容 , 即 安全 协议 的 安全 性 分 析 方 法 研究 和 各 种 实用 安 
全 协议 的 设计 与 分 析 研究 。 安 全 协议 的 安全 性 分 析 方法 主要 有 两 类 : 一 类 是 攻击 检验 方 
法 ; 另 一 类 是 形式 化 分 析 方 法 ,其 中 形式 化 分 析 是 安全 协议 研究 中 最 关键 的 研究 问题 之 一 。 


3. 安全 体系 结构 理论 与 技术 研究 


安全 体系 结构 理论 与 技术 主要 包括 安全 体系 模型 的 建立 及 其 形式 化 描述 与 分 析 , 安 全 
策略 和 机 制 的 研究 ,检验 和 评估 系统 安全 性 的 科学 方法 和 准则 的 建立 ,符合 这 些 模型 策略 
和 准则 的 系统 的 研制 (如 安全 操作 系统 、 安 全 数据 库 系统 等 ) 。 


4. 信息 对 抗 理论 与 技术 研究 


信息 对 抗 理论 与 技术 主要 包括 黑客 防范 体系 、 信 息 伪装 理论 与 技术 ,信息 分 析 与 监控 、 
和 人 侵 检 测 原理 与 技术 、 反 击 方法 、 应 急 响应 系统 、 计 算 机 病毒 、 人 工 免 疫 系 统 在 反 病 毒 和 抗 人 
侵 系统 中 的 应 用 等 。 


5. 网 络 安全 与 安全 产品 研究 


网 络 安全 是 信息 安全 中 的 重要 研究 内 容 之 一 ,也 是 当前 信息 安全 领域 中 的 研究 热点 。 
研究 内 容 包 括 网 络 安全 整体 解决 方案 的 设计 与 分 析 , 网 络 安全 产品 的 研发 等 。 网 络 安全 包 
括 物理 安全 和 人 逻辑 安全 。 物 理 安全 指 网 络 系 统 中 各 通信 、 计 算 机 设备 及 相关 设施 的 物理 保 
护 , 免 于 破坏 、 丢 失 等 。 逻 辑 安全 包含 信息 完整 性 ,保密 性 , 非 否认 性 和 可 用 性 。 它 涉及 网 
络 ,操作 系统 、 数 据 库 \ 应 用 系统 、 人 员 管 理 等 方面 。 


(3 信息 安全 历史 和 现状 


本 节 将 根据 中 国信 息 安全 实验 室 冯 登 国教 授 和 其 他 学 者 的 观点 ,对 国内 外 信息 安全 的 
研究 历史 、 现 状 及 发 展 趋势 进行 梳理 。 


1.3.1 国外 信息 安全 历史 和 现状 
1. 早期 的 信息 安全 


密码 学 是 一 个 古老 的 学 科 , 其 历史 可 以 追溯 到 公元 前 5 世纪 希腊 城邦 为 对 抗 奴 役 和 侵 
略 ,与 波斯 发 生 多 次 冲突 和 战争 。 由 于 军事 和 国家 安全 的 需要 ,密码 学 的 研究 从 未 间断 。 

20 世纪 40 一 60 年 代 初 ,电子 计算 机 出 现 后 ,由 于 其 体积 较 大 ,不 易 安 置 ,碰撞 或 搬 动 过 
程 中 容易 受 损 , 因 此 人 们 较 关 心 其 硬件 安全 。 


2. 20 世纪 70 年 代 信 息 安 全 
因为 密码 学 的 良好 基础 ,加 上 军事 和 国家 安全 的 需要 ,密码 学 研究 开始 与 计算 机 安全 结 
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合 。 另 外 ,互联 网 的 崛起 也 刺激 了 网 络 安全 的 研究 。 这 个 时 期 的 研究 包括 以 下 几 个 方面 : 

(1) 在 密码 理论 与 技术 研究 方面 ,1976 年 公 钥 密码 思想 被 提出 ,比较 流行 的 主要 有 两 
类 : 一 类 是 基于 大 整数 因子 分 解 问题 的 ,其 中 最 典型 的 代表 是 RSA; 另 一 类 是 基于 离散 对 
数 问题 的 ,如 ElGamal 公 钥 密码 和 影响 比较 大 的 椭圆 曲线 公 钥 密码 。 自 1979 年 Shamir 提 
出 密 钥 管理 思想 以 来 ,秘密 共享 理论 和 技术 达到 了 空前 的 发 展 和 应 用 。 

(2) 在 安全 体系 结构 理论 与 技术 研究 方面 ,20 世纪 70 年 代 ,ARPANET 开始 流行 并 投 
人 和信 使用, 并且 其 使 用 呈 无 序 的 趋势 。1973 年 12 月 , Robert M. Bob Metcalfe 指出 
ARPANET 存在 的 几 个 基本 问题 : 单独 的 远程 用 户 站 点 没有 足够 的 控制 权 和 防卫 措施 来 
保护 数据 免 受 授权 的 远程 用 户 的 攻击 。20 世纪 70 年 代 , 安 全 体系 结构 理论 的 计算 机 保密 
模型 (Bell& La padula 模型 ) 被 提出 。 


3. 20 世纪 80 年 代 信息 安全 


20 世纪 80 年 代 末 , 随 着 国际 互联 网 的 逐渐 普及 ,安全 保密 事件 频频 发 生 , 既 有 “ 硬 破 
Fk”, 也 有 “ 软 破 坏 ”, 因 而 ,这 一 阶段 的 计算 机 安全 不 但 重视 硬件 ,而 且 也 重视 软件 和 网 络 。 
不 但 注重 系统 的 可 靠 性 和 可 用 性 ,而 且 因 使 用 者 多 数 是 涉 密 的 军事 和 政府 部 门 , 因 此 也 非常 
关注 系统 的 保密 性 。 这 个 时 期 的 研究 和 关注 点 包括 以 下 几 个 方面 : 

(1) 在 密码 理论 与 技术 研究 方面 ,20 世纪 80 年 代 后 期 ,认证 码 研 究 在 其 构造 和 界 的 估 
计 等 方面 已 经 取得 了 长 足 的 发 展 。 身 份 识别 研究 有 两 类 : 一 类 是 1984 年 Shamir 提出 的 基 
于 身份 的 识别 方案 ; 另 一 类 是 1986 年 Fiat 等 人 提出 的 零 知识 身份 识别 方案 。20 世纪 80 年 
代 中 期 到 90 年 代 初 ,序列 密码 的 研究 非常 热 , 在 序列 密码 的 设计 与 生成 以 及 分 析 方面 出 现 
了 一 大 批 有 价值 的 成 果 。 

(2) 在 安全 协议 理论 与 技术 研究 方面 ,20 世纪 80 年 代 初 安全 协议 的 形式 化 分 析 方法 起 
步 , 随 着 各 种 有 效 方法 及 思想 的 不 断 涌现 ,目前 这 一 领域 在 理论 上 正在 走向 成 熟 。 研 究 成 果 
主要 集中 在 基于 推理 知识 和 信念 的 模 态 逻辑 ,基于 状态 搜索 工具 和 定理 证 明 技术 ,基于 新 的 
协议 模型 发 展 证 明正 确 性 理论 三 方面 。 

(3) 在 安全 体系 结构 理论 与 技术 研究 方面 ,20 世纪 80 年 代 中 期 ,美国 国防 部 制定 了 “可 
信 计 算 机 系统 安全 评价 准则 (TCSEC)”, 其 后 又 对 网 络 系统 ,数据库 等 方面 做 出 了 系列 安全 
解释 ,形成 了 安全 信息 系统 体系 结构 的 最 早 原则 。 

(4) 在 信息 对 抗 理论 与 技术 研究 方面 ,1988 年 “蠕虫 事件 ”和 计算 机 系统 Y2k 问题 让 人 
们 开始 重视 信息 系统 的 安全 。 


4. 20 世纪 90 年 代 信息 安全 


20 世纪 90 年 代 , 伴 随 着 计算 机 及 其 网 络 的 广泛 应 用 ,诸多 的 安全 事件 暴露 了 计算 机 系 
统 的 缺陷 ,这 使 计算 机 科学 家 和 生产 厂商 意识 到 ,如 果 不 堵 住 计算 机 及 网 络 自身 的 漏洞 , 犯 
罪 分 子 将 乘虚 而 人 ,不 但 造成 财产 上 的 损失 ,而且 将 严重 阻碍 计算 机 技术 的 进一步 发 展 和 应 
用 。 这 个 时 期 的 研究 和 关注 点 包括 以 下 几 个 方面 : 

(1) 在 密码 理论 与 技术 研究 方面 :法国 是 第 一 个 制定 数字 签名 法 的 国家 ,其 他 国家 也 正 
在 实施 之 中 。1993 年 美国 提出 的 密 钥 托管 理论 和 技术 、 国 际 标准 化 组 织 制 定 的 X. 509 标准 
以 及 麻 省 理工 学 院 开发 的 Kerboros 协议 等 。 美 国 在 1977 年 制定 了 数据 加 密 标 准 , 但 1997 年 


第 1 章 “信息 安全 概述 


6 月 17 日 被 攻破 。 随 后 制定 和 评估 新 一 代数 据 加 密 标准 ( 称 作 AES)。 欧 洲 和 日 本 也 启动 
了 相关 标准 的 征集 和 制定 工作 。 

(2) 在 安全 协议 理论 与 技术 研究 方面 ,目前 已 经 提出 了 大 量 的 实用 安全 协议 ,如 电子 商 
务 协议 、IPSec 协议 、TLS 协议 .简单 网 络 管理 协议 (SNMP)、PGP 协议 、PEM 协议 、 
S-HTTP 协议 和 S/MIME 协议 等 。 实 用 安全 协议 的 安全 性 分 析 , 特 别 是 电子 商务 协议 、 
IPSec 协议 .TLS 协议 是 协议 研究 中 的 另 一 个 热点 。 典 型 的 电子 商务 协议 有 SET 协议 ,iKP 
协议 等 。 另 外 ,值得 注意 的 是 Kailar 逻辑 , 它 是 目前 分 析 电 子 商 务 协议 的 最 有 效 的 一 种 形 
式 化 方法 。 为 了 实现 安全 IP,Internet 工程 任务 组 IETF 于 1994 年 开始 了 一 项 IP 安全 工 
程 ,专门 成 立 了 IP 安全 协议 工作 组 IPSEC 来 制定 和 推动 一 套 称 为 IPSec 的 IP 安全 协议 标 
准 。IETF 于 1995 年 8 月 公布 了 一 系列 关于 IPSec 的 建议 标准 。1994 年 ,Netscape 公司 为 
了 保护 Web 通信 协议 HTTP, 开 发 了 SSL 协议 ,1996 年 发 布 了 SSL3.0。1997 年 ,IETF 发 
布 了 TLS1. 0 传输 层 安全 协议 的 草案 。1999 年 正式 发 布 了 RFC2246 。 

(3) 在 安全 体系 结构 理论 与 技术 研究 方面 ,20 世纪 90 年 代 初 , 英 、 法 、 德 , 荷 4 国 针对 
TCSEC 准则 只 考虑 保密 性 的 局 限 ,联合 提出 了 包括 保密 性 、 完 整 性 、 可 用 性 概念 的 “信息 技 
术 安 全 评价 准则 (ITSEC)”, 但 是 该 准则 中 并 没有 给 出 综合 解决 以 上 问题 的 理论 模型 和 方 
案 。 最 后 6 国 7 方 (美国 国家 安全 局 和 国家 技术 标准 研究 所 加、 英法 、 德 . 荷 ) 共 同 提出 * 信 
息 技术 安全 评价 通用 准则 (CC for ITSEC)”。CC 标准 于 1999 年 7 月 通过 国际 标准 化 组 织 
认可 ,编号 为 ISO/IEC 15408 。 

(4) 在 信息 对 抗 理论 与 技术 研究 方面 ,黑客 利用 分 布 式 拒绝 服务 方法 攻击 大 型 网 站 , 导 
致 网 络 服 务 瘫 痰 。 计 算 机 病毒 和 网 络 黑客 攻击 技术 已 经 成 为 新 一 代 军 事 武 器 。 


5. 21 世纪 信息 安全 现状 


进入 21 世纪 ,密码 理论 研究 有 了 一 些 突破 ,安全 体系 结构 理论 更 加 完善 ,信息 对 抗 理论 
的 研究 尚未 形成 系统 ,网 络 安全 与 安全 产品 丰富 多 彩 。 这 个 时 期 的 研究 包括 以 下 几 个 方面 

(1) 在 密码 理论 与 技术 研究 方面 ,目前 国际 上 对 非 数学 的 密码 理论 与 技术 (包括 信息 隐 
形 .量子 密码 .基于 生物 特征 的 识别 理论 与 技术 等 ) 非 常 关注 。 信 息 隐 藏 将 在 未 来 网 络 中 保 
护 信息 免 于 破坏 起 到 重要 作用 。 信 息 隐藏 是 网 络 环境 下 把 机 密 信息 隐藏 在 大 量 信息 中 不 让 
对 方 发 觉 的 一 种 方法 。 特 别 是 图 像 倒 加 ,数字 水 印 , 潜 信道 .隐匿 协议 等 的 理论 与 技术 的 研 
究 已 经 引起 人 们 的 重视 。 近 年 来 , 英 、 美 .日 等 国 的 许多 大 学 和 研究 机 构 竞 相投 入 到 量子 密 
码 的 研究 之 中 ,更 大 的 计划 在 欧洲 进行 。 西 方 国家 不 仅 在 密码 基础 理论 方面 的 研究 做 得 很 
好 ,而 且 在 实际 应 用 方面 也 做 得 非常 好 ,制定 了 一 系列 的 密码 标准 ,特别 规范 。 

(2) 在 安全 体系 结构 理论 与 技术 研究 方面 ,至 今 美 国 已 研制 出 达到 TCSEC 要 求 的 安全 
系统 (包括 安全 操作 系统 、 安 全 数据 库 、 安 全 网 络 部 件 ) 达 100 多 种 ,但 这 些 系统 仍 有 局 限 性 ， 
还 没有 真正 达到 形式 化 描述 和 证 明 的 最 高 级 安全 系统 。 

(3) 在 信息 对 抗 理论 与 技术 研究 方面 ,该 领域 正在 发 展 阶段 ,理论 和 技术 都 很 不 成 熟 ， 
也 比较 零散 。 但 它 的 确 是 一 个 研究 热点 。 目 前 的 成 果 主 要 是 一 些 产品 (如 IDS、 防 范 软件 、 
杀 病 毒 软件 等 )。 除 了 攻击 程序 和 黑客 攻击 外 ,当前 该 领域 最 引 人 了 瞩目 的 问题 是 网 络 攻击 ， 
美国 在 网 络 攻击 方面 处 于 国际 领先 地 位 。 该 领域 的 另 一 个 比较 热门 的 问题 是 入 侵 检测 与 防 
范 。 这 方面 的 研究 相对 比较 成 熟 , 也 形成 了 系列 产品 。 
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(4) 在 网 络 安全 与 安全 产品 研究 方面 ,目前 在 市 场 上 比较 流行 ,而 又 能 够 代表 未 来 发 展 
方向 的 安全 产品 大 致 有 以 下 几 类 : 防火 墙 、 安 全 路 由 器 .虚拟 专用 网 .安全 服务 器 .电子 签证 
机 构 CA 和 PKI 产 品 ,用户 认证 产品 .安全 管理 中 心 、 人 侵 检测 系统 (IDS) 安全 数据 库 、 安 
全 操作 系统 。 


1.3.2 国内 信息 安全 历史 和 现状 


1. 初期 的 信息 安全 


早年 我 国 的 密码 学 应 用 研究 主要 集中 在 军事 领域 和 国家 安全 部 门 。20 世纪 80 年 代 中 
期 ,有 些 部 门 开 始 注意 计算 机 电磁 辐射 造成 泄密 问题 ,并 将 国外 的 “计算 机 安全 (Computer 
Security) ”一 词 引入 我 国 使 用 。 


2. 20 世纪 90 年 代 信息 安全 


我 国信 息 安 全 研究 经 历 了 通信 保密 .计算 机 数据 保护 两 个 发 展 阶段 。 安 全 体系 的 构建 
和 评估 ,通过 学 习 、 吸 收 、 消 化 TCSEC 准则 进行 了 安全 操作 系统 、 多 级 安全 数据 库 的 研制 ， 
但 是 由 于 系统 安全 内 核 受 控 于 人 ,以 及 国外 产品 的 不 断 更 新 升级 ,基于 具体 产品 的 增强 安全 
功能 的 成 果 难 以 保证 没有 漏洞 ,难以 得 到 推广 应 用 。 在 学 习 借鉴 国外 技术 的 基础 上 ,国内 一 
些 部 门 也 开发 研制 了 一 些 防火 墙 、 安 全 路 由 器 、 安 全 网 关 、. 黑 客人 侵 检 测 .系统 脆弱 性 扫描 软 
件 等 。 但 是 ,这 些 产 品 安全 技术 的 完善 性 ,规范 化 和 实用 性 还 存在 许多 不 足 ,特别 是 在 多 平 
台 的 兼容 性 、 多 协议 的 适应 性 、 多 接口 的 满足 性 方面 较 国 外 存在 很 大 差距 ,理论 基础 和 自主 
的 技术 手段 也 需要 发 展 和 强化 。 


3. 21 世纪 的 信息 安全 现状 


20 世纪 90 年 代 后 期 到 21 世纪 ,我 国信 息 安 全 的 研究 发 展 很 快 ,但 是 很 不 平衡 。 有 些 
方面 达到 了 世界 先进 水 ,有 些 方面 依然 存在 很 大 的 距离 。 

(1) 在 密码 理论 与 技术 研究 方面 ,我 国学 者 也 提出 了 一 些 公 钥 密码 ,另外 在 公 钥 密码 的 
快速 实现 方面 也 做 了 一 定 的 工作 ,如 在 RSA 的 快速 实现 和 椭圆 曲线 公 钥 密码 的 快速 实现 方 
面 都 有 所 突破 。 公 钥 密码 的 快速 实现 是 当前 公 钥 密码 研究 中 的 一 个 热点 ,包括 算法 优化 和 
程序 优化 。 另 一 个 人 们 所 关注 的 问题 是 椭圆 曲线 公 钥 密码 的 安全 性 论证 问题 。 我 国学 者 在 
序列 密码 方面 的 研究 很 不 错 。 在 密 钥 管理 方面 也 做 了 一 些 跟 踪 研 究 ,按照 X. 509 标准 实现 
了 一 些 CA。 在 认证 码 方面 的 研究 也 很 出 色 。 在 密码 基础 理论 的 某 些 方面 的 研究 做 得 很 
好 ,但 在 实际 应 用 方面 与 国外 的 差距 较 大 ,没有 自己 的 标准 ,也 不 规范 。 目 前 我 国 在 密码 技 
术 的 应 用 水 平方 面 与 国外 还 有 一 定 的 差距 。 

(2) 在 安全 协议 理论 与 技术 研究 方面 ,虽然 在 理论 研究 方面 和 国际 上 已 有 协议 的 分 析 
方面 做 了 一 些 工作 ,但 在 实际 应 用 方面 与 国际 先进 水 平 还 有 一 定 的 差距 。 

(3) 在 安全 体系 结构 理论 与 技术 研究 方面 ,我 国 与 先进 国家 和 地 区 存在 很 大 差距 。 近 
几 年 来 ,在 我 国 进行 了 安全 操作 系统 、 安 全 数据 库 、 多 级 安全 机 制 的 研究 ,但 由 于 自主 安全 内 
核 受 控 于 人 ,难以 保证 没有 漏洞 。 大 部 分 有 关 的 工作 都 以 美国 1985 年 的 TCSEC 标准 为 主 
要 参照 系 。 开 发 的 防火 墙 、 安 全 路 由 器 、 安 全 网 关 、 黑 客人 入 侵 检 测 系统 等 产品 和 技术 ,主要 集 
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中 在 系统 应 用 环境 的 较 高 层次 上 ,在 完善 性 、 规 范 性 、 实 用 性 上 还 存在 许多 不 足 ,特别 是 在 多 
平台 的 兼容 性 、 多 协议 的 适应 性 、 多 接口 的 满足 性 方面 存在 很 大 距离 ,其 理论 基础 和 自主 的 
技术 手段 也 有 待 于 发 展 和 强化 。1999 年 10 月 发 布 了 “计算 机 信息 系统 安全 保护 等 级 划分 
准则 ”, 该 准则 为 安全 产品 的 研制 提供 了 技术 支持 ,也 为 安全 系统 的 建设 和 管理 提供 了 技术 
指导 。Linux 开放 源 代码 为 我 们 自主 研制 安全 操作 系统 提供 了 前 所 未 有 的 机 遇 。 

(4) 在 信息 对 抗 理论 与 技术 研究 方面 ,国内 在 入侵 检测 与 防范 方面 的 研究 很 不 错 ,并 形 
成 了 相应 的 产品 。 我 国民 间 和 研究 机 构 就 攻击 程序 和 黑客 攻击 进行 了 一 些 非 系统 零散 的 研 
究 。 网 络 攻击 研究 刚刚 起 步 , 与 国际 水 平 有 差距 。 

(5) 在 网 络 安全 与 安全 产品 研究 方面 ,网 络 安全 的 解决 是 一 个 综合 性 问题 ,涉及 诸多 因 
素 ,包括 技术 、 产 品 和 管理 等 。 目 前 国际 上 已 有 众多 的 网 络 安全 解决 方案 和 产品 ,但 由 于 出 
口 政策 和 自主 性 等 问题 ,不 能 直接 用 于 解决 我 国 自己 的 网 络 安全 ,因此 我 国 的 网 络 安全 只 能 
借鉴 这 些 先 进 技术 和 产品 自行 解决 。 庆 幸 的 是 ,目前 国内 已 有 一 些 网 络 安全 解决 方案 和 产 
品 , 不 过 这 些 解决 方案 和 产品 与 国外 同类 产品 相 比 尚 有 一 定 的 差距 。 


(1 信息 安全 法 规 
本 节 将 简要 介绍 国际 信息 安全 法 规 和 国内 信息 安全 法 规 。 


1.4.1 国际 信息 安全 法 规 
1. 早期 信息 安全 法 规 


发 达 国家 关注 计算 机 安全 立法 是 从 20 世纪 60 年 代 开始 的 。 瑞 典 早 在 1973 年 就 颁布 
了 《数据 法 》, 这 是 世界 上 首部 直接 涉及 计算 机 安全 问题 的 法 规 。 随 后 ,丹麦 等 西欧 各 国都 先 
后 颁布 了 数据 法 或 数据 保护 法 。 美 国 国防 部 早 在 20 世纪 80 年 代 就 对 计算 机 安全 保密 问题 
开展 了 一 系列 有 影响 的 工作 。 针 对 窃取 计算 机 数据 和 对 计算 机 信息 系统 的 种 种 危害 ,1981 年 
成 立 了 国家 计算 机 安全 中 心 ,1983 年 美国 国家 计算 机 安全 中 心 公布 了 可 信 计 算 机 系统 评价 
准则 ,1986 年 制定 了 计算 机 诈骗 条 例 ,1987 年 制定 了 计算 机 安全 条 例 ,1999 年 制定 了 信息 
技术 安全 评价 通用 准则 (CC) ,2003 年 美国 国家 安全 局 又 发 布 了 信息 保障 技术 框架 。 


2. 欧盟 信息 安全 法 规 


近年 来 ,对 于 互联 网 的 法 律 监管 问题 ,欧盟 各 机 构 已 经 做 出 相当 大 的 努力 来 制定 法 规 框 
架 和 设 定 法 律 工具 。1996 年 10 月 ,欧盟 开始 实施 (网 上 有 害 和 非法 内 容 通 信条 例 》, 该 条 例 
提出 了 采取 立即 行动 的 一 些 措施 。 该 条 例 认 为 确保 现行 法 律 应 用 于 互联 网 是 所 有 成 员 国 的 
责任 ,在 欧洲 和 国际 层面 上 进行 合作 和 协调 有 助 于 法 律 的 实施 。 它 介绍 了 一 种 结合 服务 供 
应 商 自我 管理 ,互联 网 用 户 采 用 鉴定 和 过 滤 软 件 等 技术 工具 以 及 提供 检测 智能 的 法 规 框架 。 
同时 ,欧盟 通过 了 《关于 在 音像 影像 和 信息 服务 行业 中 保护 未 成 年 人 和 人 类 尊严 ) 的 绿 皮 书 。 
该 绿 皮 书 的 目的 是 为 了 引起 关于 特殊 类 型 的 非法 材料 (包括 反 犹 太 和 种 族 主义 材料 ) 的 立法 
讨论 。 绿 皮 书 引起 了 关于 三 个 议题 的 讨论 : 加 强 法 律 的 保护 ,鼓励 更 高 一 级 的 治理 体系 以 
及 促进 国际 合作 。 欧 盟 及 其 成 员 国 有 关 集 团 对 这 些 问 题 的 考虑 ,产生 了 关于 互联 网 种 族 主 
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义 非法 材料 的 广泛 共识 。 

1997 年 ,欧盟 通过 了 《关于 保护 未 成 年 人 与 人 类 尊严 的 推荐 建议 》( 以 下 简称 (推荐 建 
议 )) 以 及 1999 年 决定 通过 的 《促进 更 安全 地 使 用 互联 网 行动 计划 》( 以 下 简称 《行动 计划 》)。 
这 两 个 文件 是 补充 文件 。 《推荐 建议 ) 是 法 律 建议 书 ,帮助 形成 国家 层面 上 实施 自我 管理 的 
共同 指导 原则 ;《 行 动 计划 ) 则 为 创建 安全 环境 ,开发 过 滤 系 统 的 具体 行为 ,以 及 为 教育 用 户 
和 法 律 与 经 济 领 域 的 辅助 行动 提供 财政 支持 。 总 之 ,迄今 实施 的 措施 把 与 非法 内 容 的 斗争 
责任 在 源头 上 落实 到 了 法 律 实施 机 构 的 身上 ,这 些 机 构 的 活动 受到 国家 法 律 和 关于 司法 合 
作 的 国际 协定 的 管理 。 可 以 预期 ,尽管 互联 网 业 可 以 通过 自律 .操作 代码 和 建立 热线 在 减少 
非法 内 容 上 起 到 一 定 的 作用 ,但 上 述 措施 则 会 使 有 关 经 验 、 信 息 、 警 官 与 司法 人 员 培 养 等 因 
素 融 会 起 来 。 

与 此 同时 ,欧盟 还 根据 1996 年 的 条 约 , 建 立 了 互联 网 非法 和 有 害 内 容 的 工作 小 组 。 
1996 年 9 月 ,美国 联邦 电讯 委员 会 同意 在 工作 小 组 内 增加 部 长 代表 、 服 务 供应 商 和 其 他 人 
员 ,从 而 使 其 研究 领域 和 工作 范围 得 到 扩展 。 工 作 小 组 于 1996 年 11 月 和 1997 年 7 月 提出 
了 两 份 报 告 , 这 些 报 告 促 成 了 1997 年 2 月 通过 的 《关于 互联 网 非法 和 有 害 内 容 的 委员 会 决 
议 )( 以 下 简称 (决议 ))。 该 决议 使 欧盟 成 员 国 采纳 了 自我 管理 体系 ,包括 服务 供应 商 和 用 户 
代表 团体 ,有 效 地 操作 密码 ,公众 热线 报告 机 制 以 及 过 滤 机 制 和 监测 系统 。《 决 议 ) 也 要 求 欧 
盟 跟踪 考察 以 前 推荐 的 措施 ,包括 最 佳 实践 和 信息 在 团体 层面 上 更 迅速 地 协调 和 交流 ,同时 
进一步 思考 互联 网 内 容 的 法 律 责任 问题 。 

1997 年 4 月 ,欧盟 通过 了 一 项 决议 ,并 通过 了 欧盟 主席 皮 埃 尔 。 普 拉 蒂 亚 关于 “公民 自 
由 和 互联 事务 ”的 报告 。《 决 议 ) 号 召 成 员 国 制定 刑法 共同 规则 ,在 共同 的 指导 原则 基础 上 加 
强行 政 合作 ,在 与 欧洲 议会 协商 后 建立 包括 保护 未 成 年 人 和 人 类 尊严 方面 应 有 目标 在 内 的 
自我 管理 共同 框架 。 这 个 框架 也 包括 有 关 行 业 的 治理 原则 ,决策 程序 ,鼓励 信息 通信 行业 开 
发 适应 用 户 需要 的 信息 保护 和 过 滤 软 件 的 措施 ,采取 合适 措施 使 所 有 儿童 色情 实践 都 能 向 
警方 报告 ,并 与 欧洲 警察 署 和 国际 刑警 组 织 协同 工作 。 在 互联 网 有 害 和 非法 内 容 方面 《 决 
议 ) 号 召 委员 会 和 成 员 国 要 鼓励 开发 与 互联 网 内 容 选择 协议 平台 兼容 的 .可 包容 文化 差异 
的 .共同 的 国际 监测 系统 。 

作为 6 决议》 的 成 果 ,1997 年 7 月 在 波恩 召开 了 一 个 国际 部 长 级 会 议 ,会 议 主题 为 "全球 
信息 网 络 实现 可 能 性 ”, 与 会 者 包括 信息 通信 行业 的 所 有 成 员 以 及 用 户 和 其 他 国际 组 织 的 代 

。 会 议 产 生 了 一 系列 宣言 ,强调 了 民营 部 门 通过 自我 管理 系统 ,在 保护 消费 者 利益 和 保护 
并 尊重 伦理 标准 方面 能 发 挥 作用 。 

在 网 络 监管 实践 方面 ,司法 部 门 和 国内 事务 委员 会 主持 法 律 实施 部 门 的 具体 合作 ,并 建 
立 了 专门 的 工作 小 组 来 管理 互联 网 通信 的 合法 侦 听 工作 。 欧 盟 各 国 对 警方 与 司法 的 合作 非 
常 关注 ,并 建议 由 管理 跨国 犯罪 的 高 级 小 组 来 研究 对 信息 犯罪 的 地 理 定位 .鉴别 和 起 诉 的 机 
制 问题 。1997 年 4 月 ,欧盟 和 欧洲 警察 组 织 发 文 给 欧洲 警方 ,要 求 他 们 监测 互联 网 上 的 非 
法 内 容 , 选 出 “报告 点 ”, 调 查 跨国 连接 ,交换 信息 ,协调 各 国法 律 ,并 在 调查 方面 相互 合作 。 


3. 美国 信息 安全 法 规 


美国 联邦 政府 在 信息 安全 方面 的 法 律 最 主要 的 是 1987 年 美国 第 100 届 国 会 通过 的 、 
1988 年 开始 实施 的 100 一 235 号 公法 。 到 目前 为 止 ,美国 已 制定 专门 用 来 解决 信息 网 络 安 


第 1 章 ”信息 安全 概述 


全 问题 的 法 律 法 规 不 少 于 18 部 ,这 些 法 律 法 规 主要 涉及 以 下 几 个 领域 : 

(1) 加 强 信息 网 络 基础 设施 保护 ,打击 网 络 犯罪 ,如 《国家 信息 基础 设施 保护 法 》《 计 算 
机 欺诈 与 滥用 法 》《 公 共 网 络 安全 法 》《 计 算 机 安全 法 》《 加 强 计算 机 安全 法 》《 加 强 网 络 安 
全 法 》; 

(2) 规范 信息 收集 利用、 发布 和 隐私 权 保 护 , 如 《信息 自由 法 》《 隐 私 权 法 》《 电 子 通 信 
隐私 法 》《 儿 童 在 线 隐 私 权 保护 法 》《 通 信 净 化 法 》《 数 据 保密 法 》《 网 络 安全 信息 法 》《 网 
络 电子 安全 法 》; 

(3) 确认 电子 签名 及 认证 ,如 《全 球 及 全 国 商 务 电 子 签名 法 》; 

(4) 其 他 安全 问题 ,如 《国土 安全 法 》《 政 府 信 息 安全 改革 法 》 和 《网 络 安全 研究 与 开发 
法 ) 等 。 

下 面 按时 间 先 后 顺序 将 主要 法 案 介绍 如 下 : 1966 年 制定 通过 (信息 自由 法 》,1974 年 、 
1986 年 .1996 年 三 次 修订 ; 1974 年 制定 通过 《隐私 权 法 》; 1984 年 制定 通过 《计算 机 欺诈 与 
滥用 法 》 1986 年 10 月 制定 通过 《电子 通信 隐私 法 》; 1987 年 制定 通过 《计算 机 安全 法 》; 为 
了 限制 有 害 信息 的 传播 ,1996 年 美国 将 (电信 法 ) 第 五 编 色 情 和 暴力 ) 独 立成 篇 ,经 国会 众 
参 两 院 同意 ,以 (通信 净化 法 ) 的 名 称 加 以 公布 ; 1996 年 制定 通过 《国家 信息 基础 设施 保护 
法 》; 1997 年 制定 通过 (数据 保密 法 》; 1997 年 6 月 制定 通过 《公共 网 络 安全 法 》; 1997 年 
9 月 制定 通过 (加强 计算 机 安全 法 》,2000 年 修订 ; 1998 年 10 月 通过 《儿童 在 线 隐 私 权 保护 
法 》; 1999 年 通过 《网 络 电子 安全 法 案 》; 2000 年 通过 《政府 信息 安全 改革 法 案 》, 它 是 在 对 
1995 年 颁布 的 4 纸张 销 减法 案 》 进 行 修 订 并 重新 命名 而 成 ; 2000 年 制定 通过 《全 球 及 全 国 商 
务 电子 签名 法 》; 2000 年 4 月 制定 通过 《网 络 安全 信息 法 》; 2002 年 11 月 通过 《网 络 安全 研 
究 与 开发 法 》; 2002 年 3 月 通过 《联邦 信息 安全 管理 法 》; 2002 年 11 月 通过 《国土 安全 法 》。 
另外 ,美国 将 原 经 众议院 通过 而 参议 院 未 予 通 过 的 《加强 网 络 安全 法 ) 的 内 容 并 入 《国土 安 
全 法 》。 


4. 西欧 信息 安全 法 规 


在 西欧 ,许多 国家 就 有 关 信息 安全 制定 了 相应 的 对 策 和 法 律 。 

英国 把 信息 安全 作为 主要 任务 之 一 。 英 国 在 1995 年 制定 了 《信息 安全 管理 操作 条 例 》， 
该 法 用 以 保护 军事 与 政府 部 门 的 敏感 信息 。1996 年 以 前 ,英国 主要 依据 (黄色 出 版 物 法 》、 
《青少年 保护 法 》《 录 像 制品 法 》《 禁 止 泛 用 电脑 法 》 和 《刑事 司法 与 公共 秩序 修正 法 》 惩 处 利 
用 计算 机 和 互联 网 络 进行 犯罪 的 行为 。1996 年 9 月 23 日 ,英国 政府 颁布 了 第 一 个 网 络 监 
管 行业 性 法 规 (3R 安全 规则 》。3R 分 别 代表 分 级 认定 、 举 报告 发 .承担 责任 。 英 国 广 播 电视 
的 主管 机 关 一 一 独立 电视 委员 会 (ITC) 公 开 宣称 ,依照 英国 1990 年 的 《广播 法 》, 它 有 权 对 
因特网 上 的 电视 节目 以 及 包含 静止 或 活动 图 像 的 广告 进行 管理 ,但 它 目 前 并 不 打算 直接 行 
使 其 对 因特网 的 管理 权力 ,而 是 致力 于 指导 和 协助 网 络 行业 建立 一 种 自我 管理 的 机 制 。 另 
外 ,1998 年 7 月 通过 《数据 保护 法 》 和 2000 年 通过 (电子 通信 法 》。 

法 国 非常 重视 信息 安全 机 构 的 建立 ,1981 年 就 在 国防 部 内 部 级 .专业 主管 和 处 理 中心 
三 级 建立 了 信息 安全 组 织 ,1986 年 成 立 了 中 央 信 息 系 统 保密 局 和 信息 系统 部 际 安全 评议 
会 ,2000 年 10 月 又 建立 了 信息 技术 安全 评估 中 心 。 法 国 积极 关注 互联 网 的 发 展 并 制定 有 
关 法 律 。 法 国 于 1981 年 5 月 公布 了 有 关 保 护 国防 和 国家 安全 秘密 与 信息 组 织 的 法 令 ， 
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1986 年 法 国 总 统 连续 颁布 了 (86)316、(86)317、(86)318 号 法 令 。 

德国 政府 在 信息 技术 发 展 的 初始 阶段 即 对 其 立法 进行 规范 。1977 年 2 月 ,经 德国 联邦 
参议 院 统一 ,德国 出 台 了 《德国 数据 保护 法 》, 规 范 存储 传送、 修改 和 去 除 (数据 处 理 ) 过 程 中 
滥用 有 关 人 事 档 案 数 据 。 但 在 建设 信息 高 速 公路 时 ,德国 同样 面临 发 达 国 家 普遍 存在 的 问 
题 。1996 年 ,德国 政府 出 台 了 《信息 和 通信 服务 规范 法 》, 即 (多 媒体 法 ), 德 国 (多 媒体 法 ) 被 
认为 是 世界 上 第 一 部 规范 的 Internet 法 律 。 该 法 由 《通信 服务 法 》《 通 信服 务 个 人 数据 保护 
法 》 和 (数字 签名 法 ) 三 部 新 的 联邦 法 律 和 (刑法 》《 行 政法 》)《 传 播 危害 青少年 出 版 物 法 》 和 
《著作 权 法 ) 等 6 个 现 有 法 律 的 修改 条 款 组 成 ,涉及 网 络 服务 提供 者 的 责任 \ 保 护 个 人 隐私 、 
数字 签名 、 网 络 犯 罪 到 保护 未 成 年 人 等 ,是 一 部 比较 全 面 的 综合 性 法 律 。2002 年 1 月 通过 
《联邦 数据 保护 法 》。 此 外 ,该 国政 府 还 通过 了 《电信 服务 数据 保护 法 》 并 根据 发 展 信息 和 通 
信服 务 的 需要 对 《治安 法 》《 传 播 危害 青少年 文字 法 》《 著 作 权 法 )》 以 及 《报价 法 》 作 了 必要 的 
补充 和 修改 。 

加 拿 大 则 颁布 了 (网络 加 密 法 》《 个 人 保护 电子 文档 法 》 和 《保护 消费 者 在 电子 商务 活动 
中 权益 的 规定 ) 等 相关 法 律 。 


5. 日 本 信息 安全 法 规 


在 亚洲 ,日 本 政府 对 计算 机 信息 系统 安全 也 相当 重视 ,1985 年 制定 了 计算 机 安全 规范 ， 
1986 年 成 立 了 计算 机 安全 管理 协会 ,1989 年 日 本 警 视 厅 又 公布 了 《计算 机 病毒 等 非法 程序 
的 对 策 指南 》。2000 年 7 月 ,日 本 信息 技术 战略 本 部 及 信息 安全 会 议 共同 拟订 了 信息 安全 
指导 方针 ,要 求 各 政府 机 构 必须 在 2000 年 12 月 之 前 制定 出 适合 本 单位 特点 的 “信息 安全 基 
本 方针 ”以 及 “信息 安全 对 策 基准 ”。2000 年 1 月 日 本 制定 了 反 黑 客 行动 计划 ,并 于 2001 年 
2 月 正式 实施 (关于 禁止 不 正当 存 取 信息 行为 的 法 律 ), 加 重 了 对 黑客 犯罪 的 处 罚 力 度 。 日 
本 邮政 署 则 于 2000 年 6 月 8 日 公布 了 旨 在 对 付 黑 客 的 信息 安全 对 策 ( 信 息 网 络 安全 可 靠 性 
基准 ) 的 补充 修改 方案 ,该 修改 方案 中 除了 增加 原 标准 中 没有 的 黑客 及 病毒 对 策 以 外 ,还 提 
出 了 制定 风险 管理 的 (信息 安全 准则 ) 的 指导 原则 。 

日 本 政府 先后 制定 通过 了 一 些 法 律 法 规 , 如 《建立 高 度 信息 通信 网 络 社会 基本 法 》《 电 
子 签名 法 》(2000 年 5 月 获得 通过 ,2001 年 4 月 开始 实施 )《 禁 止 非法 接 人 法 》(1999 年 获得 
通过 ,2000 年 2 月 开始 实施 ) 等 ,目前 仍 处 在 审议 过 程 中 的 法 律 法 规 有 《个 人 信息 保护 法 》、 
《行政 机 关 保存 的 个 人 信息 保护 法 》《 独 立 公 共事 业 法 人 等 保存 的 个 人 信息 保护 法 》 和 《信息 
公开 .个 人 信息 保护 审查 会 设置 法 } 等 。 


6. 俄罗斯 信息 安全 法 规 


1992 年 1 月 ,根据 俄罗斯 联邦 令 成 立 了 联邦 总 统 下 属 的 国家 技术 委员 会 (俄罗斯 国家 
技术 委员 会 ) ,其 主要 职能 是 执行 统一 的 技术 政策 ,协调 信息 保护 领域 的 工作 。 该 委员 会 领 
导 国 家 信息 安全 保障 工作 ,负责 确保 信息 安全 不 被 外 国 技术 侦察 ,同时 确保 在 俄罗斯 联邦 境 
内 信息 不 在 技术 渠道 流失 。 通 过 执行 有 关 信 息 安 全 的 法 律 规范 ,保证 信息 保护 领域 的 国家 
统一 政策 ,同时 兼顾 国家 、 社 会 和 个 人 利益 的 均衡 。 

1995 年 颁布 (信息 、 信 息 化 和 信息 保护 法 》,2001 年 补充 修改 ; 1996 年 颁布 (国际 信息 
交易 法 》,2000 年 补充 修改 ; 1997 年 颁布 (信息 权 法 ), 使 每 个 公民 都 享有 搜集 、 获 取 和 传递 
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信息 的 权利 ; 2000 年 颁布 (俄罗斯 联邦 因特网 发 展 和 利用 国家 政策 法 》; 2000 年 颁布 (个 人 
信息 法 》; 2001 年 颁布 (电子 文件 法 ,明确 了 电子 公文 流转 中 对 电子 文件 提出 的 各 项 要 求 ; 
2001 年 颁布 (电子 数字 签名 法 》, 明 确 规定 电子 数字 签名 的 使 用 条 件 、 密 钥 的 管理 、 认 证 中 心 
及 其 工作 、 密 钥 持 有 者 的 义务 .电子 数字 签名 的 应 用 及 企业 电子 数字 签名 的 使 用 等 。 


7. 韩国 信息 安全 法 规 


韩国 十 分 重视 信息 化 建设 的 立法 工作 , 自 1995 年 8 月 制定 (信息 化 促进 基本 法 ) 以 来 ， 
截止 到 2001 年 4 月 ,修订 和 制定 了 与 信息 化 建设 有 关 的 法 律 法 规 共计 154 部 ,其 中 79 部 涉 
及 公共 部 门 的 信息 化 建设 ,另外 75 部 则 与 其 他 部 门 的 信息 化 建设 相关 。 

在 这 154 部 法 律 法 规 中 ,比较 重要 的 有 16 部 ,分 别 是 《信息 化 促进 基本 法 》《 信 息 系 统 
的 应 用 、 安 全 及 个 人 信息 保护 法 》《 数 字 签 名 法 》《 电 子 商 务 基 本 法 》《 实 现 电 子 政务 行政 业 
务 电子 化 促进 法 》《 数 字 内 容 管 理 法 )( 也 称 为 (知识 信息 资源 管理 法 》)) 《缩小 数字 鸿沟 法 》、 
《重要 信息 基础 设施 保护 法 》《 隐 私法 》《 信 息 自 由 法 》《 公 共 机 构 公 共 记 录 管理 法 》《 国 家 
地 理 信息 系统 建立 和 应 用 法 》《 远 程 审判 专门 法 》《 民 政事 务 服务 处 理 法 》《 软 件 产业 促进 
法 》 和 《软件 程序 保护 法 》。 在 上 述 16 部 法 律 中 ,与 信息 安全 关联 度 较 高 的 大 约 有 六 七 部 ,其 
中 《信息 系统 的 应 用 和 安全 以 及 个 人 信息 保护 法 》(2001 年 1 月 制定 ) 和 《重要 信息 基础 设施 
保护 法 》(2001 年 1 月 26 日 制定 ) 最 具 代表 性 。 另 外 还 有 《隐私 法 ,该 法 于 1994 年 1 月 制 
定 通过 ,1995 年 1 月 生效 实施 。《 数 字 签 名 法 》 于 1995 年 2 月 制定 颁布 ,1995 年 7 月 生效 。 
《电子 商务 基本 法 》 于 1999 年 2 月 通过 。《 数 字 内 容 管理 法 ), 也 称 为 (知识 信息 资源 管理 
法 》, 于 2000 年 1 月 制定 通过 。 


8. 新 加 坡 信息 安全 法 规 


为 确保 “建设 成 为 高 度 发 达 的 信息 港 ”这 一 战略 目标 的 实现 ,新 加 坡 在 对 信息 网 络 管理 
方面 较为 重视 政府 管制 ,行业 自律 和 教育 消费 者 三 方面 的 有 机 结合 ,先后 颁布 了 《新 加 坡 广 
播 管理 法 》(1996 年 7 月 颁布 )《 新 加 坡 电子 交易 法 》(1998 年 6 月 通过 ,是 世界 上 第 一 部 电 
子 商务 法 )《 滥 用 计算 机 法 》(1998 年 6 月 修正 ,1993 年 发 布 ) 和 《新 加 坡 电子 交易 (认证 机 
构 ) 规 则 }》 等 法 律 法 规 。 这 些 法 律 法 规 的 颁布 实施 标志 着 新 加 坡 信息 安全 保障 体系 已 初 具 规 
模 。 新 加 坡 政府 于 2007 年 出 台 的 垃圾 电邮 控制 法 已 开始 生效 ,这 个 国家 希望 能 控制 未 经 请 
求 发 送 的 广告 电邮 。 


9. 印度 信息 安全 法 规 


为 了 规范 网 络 活动 ,保障 网 上 活动 安全 ,印度 制定 通过 了 《信息 技术 法 》, 这 是 印度 第 
一 部 有 关 网 络 活动 的 基本 法 。《 信 息 技术 法 》 于 2000 年 6 月 制定 通过 ,主要 对 电子 签名 、 
电子 政务 .电子 记录 、 认 证 机 构 . 电 子 签名 证 书 、 签 署 者 的 责任 .处罚 和 裁定 ` 网 络 规则 上 
诉 法 庭 、 网 络 服务 提供 者 在 特定 情况 的 免责 等 方面 进行 了 规定 。 根 据 该 法 的 有 关 规 定 ， 
印度 还 将 对 《印度 刑法 )《 银 行家 账簿 证 据 法 》《 印 度 储备 银行 法 》 和 《印度 证 据 法 进行 
修订 。 


br 


™ 


18 。 物 联网 安全 教 各 
™ 


1.4.2 国内 信息 安全 法 规 
1. 我 国 的 信息 安全 法 律 法 规 体系 


我 国 的 信息 安全 法 律 法 规 体 系 主要 包括 以 下 4 个 方面 : 

(1) 信息 系统 安全 保护 相关 法 律 法 规 。 包 括 计 算 机 信息 系统 安全 保护 条 例 、 计 算 机 信 
息 网 络 国际 联网 安全 保护 管理 办 法 、 信 息 安全 等 级 保护 管理 办 法 (试行 ) 。 

(2) 互联 网 络 安全 管理 相关 法 律 法 规 。 包 括 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 实 
施 办 法 、 关 于 维护 互联 网 安全 的 决定 、 互 联网 上 网 服务 营业 场所 管理 条 例 、 互 联网 信息 服务 
管理 办 法 .互联 网 安全 保护 技术 措施 规定 、 互 联网 电子 邮件 服务 管理 办 法 。 

(3) 其 他 有 关 信息 安全 的 法 律 法 规 。 包 括 计算 机 信息 系统 安全 专用 产品 检测 和 销售 许 
可 证 管理 办 法 有害 数据 及 计算 机 病毒 防治 管理 。 

(4) 依法 实践 保障 信息 安全 。 包 括 重点 单位 和 要 害 部 位 信息 系统 安全 管理 和 单位 信息 
安全 管理 制度 。 


2. 主体 框架 初步 形成 


1) 几 部 主要 法 规 

1988 年 9 月 5 日 公布 (中 华人 民 共 和 国保 守 国家 秘密 法 》。 

1993 年 2 月 22 日 七 届 全 国人 大 常委 会 公布 (中 华人 民 共 和 国 国家 安全 法 》。 

1994 年 2 月 18 日 ,国务 院 颁 布 了 我 国 第 一 部 计算 机 安全 法 规 ( 中 华人 民 共 和 国 计 算 机 
信息 系统 安全 保护 条 例 》。 这 是 一 部 标志 性 的 、 基 础 性 的 法 规 , 它 建立 起 我 国 计 算 机 信息 系 
统 安全 保护 的 基本 制度 。 

1997 年 5 月 20 日 ,国务 院 又 颁布 了 (中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂 
行规 定 》。1997 年 12 月 ,公安 部 报 经 国务 院 批准 ,颁布 了 《计算 机 信息 网 络 国际 联网 安全 保 
护 管 理 办 法 》, 专 门 用 于 规范 计算 机 信息 网 络 国际 联网 安全 保护 管理 工作 ,是 从 事 计 算 机 信 
息 网 络 国际 联网 业务 的 单位 和 个 人 的 行为 准则 。 

1997 年 ,我 国 实施 的 4 刑法) 已 经 增加 了 惩处 计算 机 犯罪 的 条 款 , 它 明确 了 法 理 上 的 计 
算 机 犯罪 的 范畴 和 处 罚 的 措施 ,为 有 效 地 打击 计算 机 犯罪 行为 提供 了 法 律 依据 。 

2000 年 是 我 国 互联 网 安全 法 制 工作 取得 重要 进展 的 一 年 。 在 国家 有 关 部 门 的 共同 努 
力 和 协同 配合 下 ,立法 取得 了 丰硕 成 果 。2000 年 我 国 制定 有 关 互联 网 安全 的 法 律 、 行 政法 
规 、 部 门 规章 共 6 部 ,是 自 1994 年 以 来 立法 数量 最 多 立法 层次 最 高 内容 最 为 丰富 的 一 年 。 

2) 基本 框架 

首先 ,2000 年 12 月 28 日 第 9 届 全 国人 民 代 表 大 会 常务 委员 会 第 19 次 会 议 审 议 通过 
了 《关于 维护 互联 网 安全 的 决定 ) 是 我 国 互 联网 安全 立法 工作 的 重大 成 果 和 法 制 建设 的 里 程 
碑 ,是 近 8 年 来 我 国 互联 网 安全 法 律 体系 中 最 高 层次 的 法 律 文件 ,也 是 我 国 互联 网 安全 法 律 
体系 最 重要 的 法 律 渊源 。 它 确立 了 我 国 管理 互联 网 安全 应 当 遵 循 的 基本 原则 ,明确 了 互联 
网 安全 的 具体 内 容 , 即 互联 网 安全 包括 网 络 运行 安全 和 信息 安全 ,为 制定 互联 网 安全 法 规划 
定 了 基础 。 目 前 ,以 这 一 决定 为 核心 ,以 行政 法 规 和 部 门 规章 为 主体 ,内 容 涵盖 互联 网 运行 
安全 和 信息 安全 的 法 律 体系 已 初 见 端倪 。 
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其 次 ,国务 院 发 布 两 部 有 关 互 联网 安全 的 行政 法 规 : 一 是 2000 年 9 月 25 日 发 布 的 (中 
华人 民 共 和 国电 信条 例 ); 二 是 2000 年 9 月 25 日 发 布 的 (互联 网 信息 服务 管理 办 法 》。 

最 后 ,出 台 了 相关 的 规章 制度 : 一 是 公安 部 在 2000 年 4 月 26 日 发 布 的 (计算 机 病毒 防 
治 管理 办 法 》; 二 是 信息 产业 部 在 2000 年 11 月 6 日 发 布 的 (互联 网 电子 公告 服务 管理 规 
定 》; 三 是 国务 院 新 闻 办 公 室 和 信息 产业 部 在 2000 年 11 月 6 日 联合 发 布 的 (互联 网 站 从 事 
登载 新 闻 业 务 管理 暂行 规定 )。 这 三 部 规章 是 相关 部 门 依据 法 律 和 行政 法 规 的 规定 ,结合 
自 的 工作 职责 ,对 实施 法 律 . 行 政法 规 的 具体 问题 作出 的 规定 。 


3. 相关 法 规 补充 完善 


1) 各 部 委 信息 安全 法 规 

1995 年 1 月 6 日 国家 保密 局 发 布 (科学 技术 保密 规定 》。 

1996 年 4 月 9 日 原 国家 邮电 部 公布 (计算 机 信息 网 络 国际 联网 出 入 口 信道 管理 办 法 》 
和 《中 国 公 用 计算 机 互联 网 国际 联网 管理 办 法 》。 

1998 年 2 月 26 日 国家 保密 局 发 布 (计算 机 信息 系统 保密 管理 暂行 规定 》。 

1998 年 8 月 31 日 公安 部 和 中 国人 民 银 行 联合 发 布 的 (金融 机 构 计 算 机 信息 系统 安全 
保护 工作 暂行 规定 》。 

2000 年 1 月 1 日 国家 保密 局 发 布 (计算 机 信息 系统 国际 联网 保密 管理 规定 》。 

2000 年 11 月 6 日 信息 产业 部 和 国务 院 新 闻 办 公 室 联合 颁布 (互联 网 站 从 事 登 载 新 闻 
业务 管理 暂行 规定 》。 

2000 年 11 月 6 日 信息 产业 部 发 布 (互联 网 电子 公告 服务 管理 规定 》。 

2001 年 12 月 20 日 国务 院 发 布 的 (计算 机 软件 保护 条 例 》。 

2) 地 方 信息 安全 法 规 

为 了 加 强 计算 机 信息 系统 安全 管理 ,防止 违法 犯罪 案件 ,全 国 各 地 近年 来 结合 本 地 工作 
实际 ,相继 制定 了 一 系列 地 方法 规 或 规章 ,如 : 

1997 年 6 月 江苏 省 保密 局 公安 厅 联合 制定 (江苏 省 计算 机 信息 系统 国际 联网 保密 管 
理工 作 暂 行规 定 》。 

1997 年 9 月 1 日 发 布 (黑龙 江 省 计算 机 信息 系统 安全 管理 规定 》。 

1998 年 6 月 1 日 发 布 (山东 省 计算 机 信息 系统 安全 管理 办 法 》。 

1998 年 5 月 29 日 辽宁 省 人 大 常委 会 通过 ,并 于 2004 年 6 月 30 日 修正 (辽宁 省 计算 机 
信息 系统 安全 管理 条 例 》。 

1998 年 7 月 17 日 发 布 (深圳 经 济 特区 计算 机 信息 系统 公共 安全 管理 规定 》。 

1998 年 8 月 1 日 重庆 市 人 大 常委 会 通过 ,2001 年 11 月 30 日 修正 《重庆 市 计算 机 信息 
系统 安全 保护 条 例 》。 

1998 年 12 月 22 日 发 布 (安徽 省 计算 机 信息 系统 安全 保护 办 法 》。 

1999 年 4 月 29 日 沪 信 息 办 发 布 ( 上 海 市 公众 电脑 屋 管理 办 法 》。 

1999 年 8 月 17 日 发 布 (广州 市 涉 密 信 息 系 统 保密 管理 暂行 规定 》 和 《广州 市 涉 密 计算 
机 信息 系统 保密 设施 实施 规范 》( 试 行 ) 。 
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4. 物 联网 安全 法 律 法 规 


学 者 樊 凡 认为 ,我 国 的 网 络 信息 安全 法 律 法 规 已 初步 建立 ,执法 过 程 中 取得 了 明显 实 
效 , 但 物 联网 安全 法 律 法 规 仍 在 探讨 中 。 物 联网 发 展 需要 国家 的 产业 政策 和 立法 上 要 走 在 
前 面 ,制定 出 适合 行业 发 展 的 政策 法 规 , 保 证 行业 的 正常 发 展 。 

物 联 网 安全 法 律 体系 是 网 络 安全 法 律 体系 的 有 机 组 成 部 分 。 按 照 我 国 现 有 法 律 体系 ， 
物 联网 安全 可 分 为 三 个 层次 : 一 是 全 国人 大 及 其 常委 会 制定 的 物 联网 安全 法 律 法 规 ,其 目 
标 是 从 国家 层面 明确 物 联网 网 络 安全 的 指导 思想 和 发 展 方向 。 二 是 国务 院 及 其 部 委 制 定 的 
物 联 网 安全 法 律 法 规 ,其 重点 是 根据 我 国 物 联网 发 展 趋势 ,结合 各 行 各 业 发 展 基础 ,制定 出 
适合 全 国 范畴 的 法 律 法 规 。 三 是 地 方 人 大 及 其 常委 会 制定 的 物 联网 安全 法 律 法 规 ,其 主要 
内 容 是 各 地 方针 对 自身 物 联网 建设 实际 ,对 物 联网 安全 制定 相关 管理 条 件 和 实施 细则 。 

1) 物 联 网 体系 的 特点 。 

不 论 是 哪个 层次 的 物 联 网 安全 法 律 法 规 , 其 主要 特点 包括 明确 法 律 制定 的 基本 原则 ,如 
信息 安全 保护 和 预防 原则 ,确定 法 律 法 规 的 属性 和 目标 。 明 确保 障 物 联网 健康 发 展 的 制度 
和 条 例 , 如 安全 等 级 备案 .许可 检测. 评估、 认证 和 监督 管理 制度 等 ,使 法 律 法 规制 度 化 和 
长 效 化 。 物 联网 应 用 面 广 ,涉及 诸多 管理 部 门 ,法 律 法 规 的 制定 要 明确 责任 与 义务 .奖励 与 
惩处 ,从 而 保证 各 司 其 职 。 

2) 物 联 网 体系 的 内 容 

包括 保障 网 络 安 全 ,建立 国家 经 济 安全 和 企业 信息 网 络 防御 体系 ,提高 预警 能 力 和 应 急 
处 置 能 力 ,使 物 联网 成 为 一 个 开放 、 安 全 、 可 信任 的 网 络 。 物 联网 的 发 展 ,其 应 用 软件 技术 是 
基础 , 且 涉 及 不 同 领域 ,必须 明确 对 知识 产权 所 有 者 的 保护 措施 。 信 息 保护 ,包括 信息 采集 
合法 性 ,传输 安全 、 及 时 和 信息 权 的 法 律 保护 ,个 人 隐私 权 的 保护 。 相 对 互联 网 而 言 , 物 联网 
在 此 方面 的 要 求 更 高 ,其 管理 是 一 个 动态 和 实时 管理 过 程 , 对 监控 对 象 (人 ) 进 行 了 定位 和 监 
控 ,并 实时 收集 和 传输 相关 信息 数据 。 为 此 ,需要 法 律 对 相应 的 行为 做 出 规范 。 

学 者 攀 凡 还 就 完善 物 联网 安全 法 律 法 规 提出 了 建议 : 物 联网 安全 法 律 法 规 的 制定 要 充 
分 考虑 国家 安全 政府 机 密 、 企 业 商业 秘密 、 知 识 产 权 和 个 人 隐私 的 法 律 保 护 问题 ,要 从 国 
家 、 国 务 院 及 部 委 、 地 方 三 个 层次 上 明确 其 发 展 方向 ,保护 条 例 和 措施 ,加 强 政府 .行业 和 企 
业 对 物 联网 法 律 法 规制 定 的 紧迫 感 和 使 命 感 ,结合 国内 外 物 联网 发 展 ,制定 促进 物 联网 健康 
有 序 发 展 的 政策 法 规 , 建 立 以 政府 和 行业 主管 部 门 为 主导 ,第 三 方 测试 机 构 参 与 的 物 联网 信 
息 安 全 保障 体系 ,构建 有 效 的 预警 和 管理 机 制 。 缘 于 物 联网 的 特性 , 物 联网 网 络 信息 安全 法 
律 法 规 的 制定 涉及 诸多 层次 的 不 同 管理 部 门 ,在 制定 法 律 法 规 时 ,一 是 要 有 全 局 观念 ,从 国 
内 外 环境 去 思考 和 制定 法 律 法 规 。 二 是 保障 法 律 法 规 的 实效 性 ,相关 部 分 制定 的 法 律 法 规 
要 协调 一 致 ,对 实施 细则 、 部 门 规章 、 地 方法 规 和 行业 规范 要 有 系统 性 。 三 是 要 完善 立法 程 
序 , 广 泛 听 取 有 关 组 织 、 产 业 , 企 业 和 公民 意见 ,使 制定 的 法 律 法 规 具 有 强大 的 权威 性 。 

物 联 网 的 发 展 离 不 开 政府 的 推动 和 宏观 调控 , 物 联网 网 络 信息 安全 法 律 法 规 的 制定 更 
需要 政府 的 支持 和 主导 。 政 府 要 具有 长 远 的 战略 眼光 ,尽快 完善 物 联网 信息 安全 保障 体系 ， 
建立 以 政府 为 主导 ,行业 主管 部 门 和 第 三 方 测试 机 构 参 与 的 物 联 网 信息 安全 保障 体系 ,避免 
各 部 门 之 间 职 责 不 清和 权力 冲突 ,构建 有 效 的 预警 和 管理 机 制 。 

物 联网 是 一 个 开放 的 系统 ,最 重要 的 特点 是 突破 地 域 和 空间 界线 ,因此 在 信息 安全 制 
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度 、 安 全 标准 ,安全 策略 、 安 全 机 制 等 一 系列 问题 上 有 自身 的 考量 。 在 加 快 相关 立法 的 同时 ， 
依靠 法 律 、 国 务 院 行政 法 规 调 整 相应 的 法 律 关系 ,坚持 全 国 统一 性 ,并 与 国际 接轨 ,确保 新 的 
立法 能 够 使 网 络 信息 安全 立法 与 网 络 技术 发 展 相 衔接 ,减少 信息 网 络 发 展 的 障碍 。 


侣 是 1 


1. 名 词 解释 

(1) 信 息 安全 ; (2) 信 息 保密 性 ; (3) 信 息 完整 性 。 

2. 判断 题 

信息 安全 的 实质 就 是 要 保护 信息 系统 或 信息 网 络 中 的 信息 资源 免 受 各 种 类 型 的 威胁 、 
干扰 和 破坏 , 即 保证 信息 的 安全 性 。( 

3. 填空 题 

(1) 信息 安全 主要 包括 以 下 5 个 方面 的 内 容 , 即 需 保 证 信息 的 s 


、 和 所 寄生 系统 的 安全 性 。 
(2) 信息 安全 的 威胁 来 自 方方面面 ,根据 其 性 质 ,基本 上 可 以 归结 为 这 几 个 方面 : 


(3) 所 有 的 信息 安全 技术 都 是 为 了 达到 一 定 的 安全 目标 ,其 核心 包括 
、 \ 可 控 性 和 不 可 否认 性 5 个 安全 目标 。 
4. 选择 题 (多 选 ) 
我 国 的 信息 安全 法 律 法 规 体 系 主要 包括 以 下 哪 几 个 方面 ?7(  ) 
A. 信息 系统 安全 保护 相关 法 律 法 规 B. 互联 网 络 安全 管理 相关 法 律 法 规 
C. 盗版 侵权 的 相关 法 律 法 规 D. 信息 安全 的 规范 标准 
5. 简 答 题 
信息 安全 领域 人 们 所 关注 的 焦点 主要 有 密码 理论 与 技术 、 安 全 协议 理论 与 技术 、 安 全 体 
系 结构 理论 与 技术 ,信息 对 抗 理 论 与 技术 、 网 络 安全 与 安全 产品 ,请 简单 介绍 一 下 。 
6. 论述 题 
请 介绍 一 下 信息 安全 体系 发 展 的 历史 和 现状 。 
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本 章 介绍 密码 学 基本 概念 、 对 称 密码 体制 , 非 对 称 密码 体制 .认证 技术 、 密 钥 管 理 等 。 要 
求学 生 掌 握 信 息 加 密 的 基本 原理 ,方法 和 技术 。 


1 密码 学 概述 


密码 学 (Cryptography) 是 一 种 加 密 和 解密 信息 的 科学 。 它 起 源 于 希腊 单词 kryptos, 意 
思 是 秘密 的 ,而 graphia 的 意思 是 写 下 来 。 密 码 学 是 一 种 存储 与 传输 数据 的 方法 ,这 种 方法 
传输 的 数据 只 能 被 授权 者 所 获取 与 阅读 。 它 是 通过 把 信息 加 密 成 不 可 读 格式 来 保护 信息 的 
一 种 科学 。 当 需要 在 介质 中 存储 或 是 通过 网 络 通信 通道 传输 敏感 信息 的 时 候 , 加 密 就 是 一 
种 保护 敏感 信息 的 有 效 方法 。 尽 管 密码 学 的 最 终 目 的 和 建立 密码 学 的 机 制 是 对 未 经 授权 的 
个 人 隐藏 信息 ,但 是 ,如 果 攻 击 者 有 足够 的 时 间 ,强烈 的 愿望 和 充足 的 资源 的 话 ,大 部 分 的 密 
码 算法 都 能 被 攻破 ,信息 也 会 被 暴露 出 去 。 所 以 密码 学 的 一 个 更 现实 的 目标 就 是 使 得 对 于 
攻击 者 来 说 ,要 破译 密码 来 获取 信息 所 需 的 工作 强度 是 令 人 难以 接受 的 。 

本 节 将 介绍 密码 学 历史 、 密 码 学 概述 古典 密码 学 和 现代 密码 学 。 


2.1.1 密码 学 历史 
密码 学 的 发 展 历史 大 致 可 划分 为 三 个 阶段 。 
1. 第 一 个 阶段 从 古代 到 1949 年 


这 一 时 期 可 看 作 是 科学 密码 学 的 前 夜 时 期 ,这 段 时 期 的 密码 技术 可 以 说 是 一 种 艺术 ,而 
不 是 一 种 科学 ,密码 学 专家 常常 是 凭借 直觉 和 信念 来 进行 密码 设计 和 分 析 , 而 不 是 推理 
证 明 。 

最 早 的 加 密 方法 要 追溯 到 4000 年 前 。 古 代 密 码 术 主要 用 来 在 危险 的 环境 中 传递 消息 ， 
如 在 战争 ,危机 和 对 立 双方 的 谈判 中 。 在 历史 上 ,个 人 和 政府 都 使 用 过 加 密 来 达到 保护 信息 
的 目的 。 随 着 时 间 的 推移 ,加 密 算法 以 及 使 用 加 密 算法 的 设备 的 复杂 性 越 来 越 高 ,新 的 方法 
和 算法 不 断 被 提出 ,密码 学 已 经 成 为 信息 技术 中 不 可 分 割 的 部 分 。 

公元 前 2000 年 ,埃及 人 用 象形 文字 雕刻 墓碑 以 记录 亡 人 的 生平 。 象 形 文字 的 目的 并 不 
是 隐藏 信息 ,而 是 使 得 死去 的 人 们 显得 更 加 的 高 贵 、 庄 重 和 宏伟 。 加 密 方法 来 源 于 把 信息 显 
示 在 用 来 隐藏 信息 的 实际 物体 上 。 和 希 伯 来 人 的 一 种 加 密 方法 是 把 字母 表 调换 顺序 ,这 样 原 
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来 的 字母 表 中 的 每 一 个 字母 就 被 映射 成 调换 顺序 后 的 字母 表 中 的 另 一 个 字母 。 这 种 加 密 方 
法 被 称 为 atbash。 例 如 : 

ABCDEFGHI JK LMNOPQ R STU VW XYZ 

YZXWVUTSR QP ONMLKJ I HGF ED CBA 

例如 ,单词 security 就 被 加 密 成 hvxfirgb。 这 是 一 种 代 换 密码 ,因为 一 个 字母 被 另 一 个 
字母 所 代替 。 这 种 代 换 密码 被 称 为 单一 字母 蔡 换 法 ,因为 它 只 使 用 一 个 字母 表 ,而 其 他 加 密 
方法 一 次 用 多 个 字母 表 , 则 称 为 多 字母 替换 法 。 

这 种 简单 的 加 密 方法 在 特殊 的 文化 背景 下 以 及 它 自己 的 时 代 才 有 效 , 但 是 最 终 我 们 需 
要 的 是 更 为 复杂 的 机 制 。 大 约 公元 前 400 年 ,斯 巴 达 人 使 用 的 加 密 信息 的 方法 是 把 消息 写 
在 纸 草 上 ,然后 再 把 纸 草 缠绕 在 一 根木 棒 上 。 只 有 当 写 着 消息 的 纸 草 缠绕 在 正确 的 木 棒 上 
时 ,才能 使 得 字母 正确 匹配 ,才能 被 阅读 。 这 就 是 scytale 密 文 。 当 纸 草 从 木 棒 上 移 下 来 时 ， 
它 上 面 所 写 的 只 是 一 堆 随 机 的 字符 。 和 希腊 政府 用 马车 把 这 些 纸 草 运输 给 不 同 的 部 队 , 战 士 
把 这 些 纸 草 正 确 地 缠绕 在 直径 大 小 ,长度 都 合适 的 木 棒 上 ,这 样 ,这 些 看 似 随机 的 字符 就 被 
正确 地 组 合成 可 读 的 消息 。 这 种 方法 可 以 用 来 指挥 战士 进行 战略 策略 行动 ,下 达 军 事 命令 。 

后 来 ,朱利叶 斯 。 恺 撒 发 明了 一 种 近似 于 atbash 替换 字母 的 方法 。 当 时 , 没 多 少 人 能 
够 在 第 一 时 间 读 懂 , 这 种 方法 提供 了 较 高 的 机 密 性 。 中 世纪 ,欧洲 人 在 不 断 利用 新 的 方法 、 
新 的 工具 和 新 的 实践 优化 自己 的 加 密 方案 。 在 19 世纪 晚期 ,密码 学 已 经 被 广泛 地 用 作 军 事 
上 的 通信 方法 。 

第 二 次 世界 大 战 期 间 ,简单 的 加 密 装置 应 用 在 战术 通信 上 。 随 着 机 械 和 电子 技术 的 发 
展 ,电报 和 无 线 电 通信 的 出 现 ,加 密 装置 得 到 了 突飞猛进 的 提高 。 转 子 加 密 机 是 军事 密码 学 
上 的 一 个 里 程 碑 。 这 种 加 密 机 是 在 机 器 内 用 不 同 的 转子 来 蔡 换 字母 。 它 提供 了 很 高 的 复杂 
性 ,从 而 很 难 攻破 。 

德国 的 Enigma 机 是 历史 上 最 著名 的 加 密 机 。 这 种 机 器 有 三 个 转子 ,一 个 线路 连接 板 
和 一 个 反 转 转子 。 在 加 密 过 程 开 始 之 前 ,消息 产生 者 将 Enigma 机 配置 成 初始 设置 。 操 作 
员 把 消息 的 第 一 个 字母 输入 加 密 机 ,加密 机 用 另 一 个 字母 来 代替 并 把 这 个 字母 显示 给 操作 
员 看 。 它 的 加 密 机 制 是 : 通过 把 转子 旋转 预定 的 次 数 用 另 一 个 不 同 的 字母 来 代替 原来 的 字 
母 。 因 此 ,如 果 操 作 员 把 工作 为 第 一 字符 融入 机 器 中 ,Enigma 机 可 能 会 把 M 作为 密 文 , 操 
作 员 把 字母 M 写 下 来 。 然 后 他 可 以 加 快 转子 的 速度 再 输入 下 一 个 字符 。 每 加 密 一 个 字符 
操作 员 就 加 快 转子 的 速度 作为 一 个 新 的 设置 。 继 续 这 样 下 去 ,直到 整个 消息 被 加 密 。 然 后 ， 
加 密 的 密 文 通过 电波 传输 ,大 部 分 情况 是 传 到 潜水 艇 。 这 种 对 每 个 字母 有 选择 性 地 替换 依 
赖 于 转子 装置 ,因此 这 个 过 程 的 关键 和 秘密 的 部 分 ( 密 钥 ) 在 于 在 加 密 和 解密 的 过 程 中 操作 
员 是 怎样 加 速 转子 的 。 两 端的 操作 员 需 要 知道 转子 的 速度 增 量 顺 序 以 使 得 德国 军事 单位 能 
够 正确 地 通信 。 尽 管 Enigma 机 的 装置 在 当时 非常 复杂 ,但 还 是 被 一 组 波兰 密码 学 家 攻破 ， 
从 而 使 得 英国 知道 了 德国 的 进攻 计划 和 军事 行动 。 有 人 说 ,Enigma 机 的 破译 使 第 二 次 世界 
大 战 缩短 了 两 年 。 


2. 第 二 个 阶段 从 1949 年 到 1975 年 


1949 年 ,Shannon 发 表 的 “保密 系统 的 信息 理论 ”一 文 为 对 称 密码 系统 建立 了 理论 基 
础 ,从 此 密码 学 成 为 一 门 科学 。 人 们 将 此 阶段 使 用 的 加 密 方法 称 为 传统 加 密 方法 ,其 安全 性 
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依赖 于 密 钥 的 秘密 性 ,而 不 是 算法 的 秘密 性 。 也 就 是 说 ,使 得 基于 密 文 和 加 解密 算法 的 知识 
去 解密 一 段 信息 在 实现 上 不 可 能 。 

随 着 计算 机 的 出 现 ,加 密 方 法 和 装置 得 到 了 改善 ,密码 学 成 就 也 呈 指 数 增长 。Lucifer 
引入 复杂 的 数学 方程 和 函数 ,后 来 被 美国 国家 安全 局 (NSA) 采 用 和 改进 ,形成 了 著名 的 数 
据 加 密 标准 (Data Encryption Standard, DES)。DES 已 被 广泛 使 用 在 金融 交易 上 , 它 还 被 
嵌入 到 许多 商业 应 用 中 。1977 年 ,美国 国家 标准 局 正式 公布 实施 了 美国 的 数据 加 密 标准 ， 
公开 它 的 加 密 算法 ,并 批准 用 于 非 机 密 单 位 和 商业 上 的 保密 通信 。 


3. 第 三 个 阶段 从 1976 年 至 今 


1976 年 ,Diffie 和 Hellman 的 “密码 学 的 新 方向 "一文 导 致 了 密码 学 上 的 一 场 革命 。 他 
们 首次 证 明了 在 发 送 端 和 接收 端 无 密 钥 传输 的 保密 信息 是 可 能 的 ,从 而 开创 了 公 钥 密码 学 
的 新 纪元 。 

公 钥 密码 学 是 整个 密码 学 发 展 历史 中 最 伟大 的 一 次 革命 ,也 可 以 说 是 唯一 的 一 次 革命 。 
从 密码 学 产生 至 今 ,几乎 所 有 的 密码 系统 都 是 基于 替换 和 置换 这 些 初等 方法 , 几 千 年 来 , 算 
法 的 实现 主要 是 通过 手工 计算 来 完成 的 。 随 着 转 轮 加 密 /解密 机 器 的 出 现 , 传 统 密码 学 有 了 
很 大 进展 ,利用 电子 机 械 转 轮 可 以 开发 出 极其 复杂 的 加 密 系统 ,利用 计算 机 甚至 可 以 设计 出 
更 加 复杂 的 系统 ,最 著名 的 例子 是 Lucifer 在 IBM 实现 数据 加 密 标准 (DES) 时 所 设计 的 系 
统 。 转 轮机 器 和 DES 是 密码 学 发 展 的 重要 标志 ,但 是 它们 都 是 基于 替换 和 置换 这 些 初等 方 
法 之 让 

公 钥 密码 学 与 其 前 传统 的 密码 学 完全 不 同 , 它 的 出 现 使 密码 学 的 研究 发 生 了 巨大 的 变 
化 。 与 传统 加 密 系统 不 同 的 是 ,使 用 这 种 方法 的 加 密 系统 ,不 仅 公 开 加 密 算 法 本 身 , 也 公开 
了 加 密 用 的 密 钥 。 首 先 , 公 钥 算法 是 基于 数学 函数 而 不 是 基于 替换 和 置换 。 更 重要 的 是 ,与 
只 使 用 一 个 密 钥 的 对 称 传统 密码 不 同 , 公 钥 密 码 学 是 非 对 称 的 , 它 使 用 两 个 独立 的 密 钥 。 我 
们 将 会 看 到 ,使 用 两 个 密 钥 在 消息 的 秘密 性 、 密 钥 分 配 和 认证 领域 有 着 重要 意义 。 

目前 的 公 钥 密码 系统 主要 依赖 下 面 三 种 数学 难题 : 大 整数 因子 分 解 问题 ; 离散 对 数 问 
题 ; 椭圆 曲线 上 的 离散 对 数 问题 。 

(1) 第 一 类 公 钥 系统 是 由 Rivet、Shamir 和 Adelman 提出 的 ,简称 为 RSA 系统 , 它 的 安 
全 性 是 基于 大 整数 因子 分 解 的 困难 性 ,而 大 整数 因子 分 解 问题 是 数学 上 的 著名 难题 ,因而 可 
以 确保 RSA 算法 的 安全 性 。RSA 系统 是 公 钥 系统 的 最 具有 典型 意义 的 方法 , 自 提出 以 来 
就 一 直 是 人 们 研究 的 焦点 。 对 于 密码 破译 者 来 说 ,在 这 种 系统 中 ,已 知 密 文 而 想 得 出 明文 就 
必须 进行 大 整数 的 因子 分 解 。 

从 上 述 介绍 中 不 难看 出 ,RSA 方法 的 优点 主要 在 于 原理 简单 ,易于 使 用 。 但 是 , 随 着 分 
解 大 整数 方法 的 进步 及 完善 .计算 机 速度 的 提高 以 及 计算 机 网 络 的 发 展 ( 可 以 使 用 成 千 上 万 
台 机 器 同时 进行 大 整数 分 解 ) ,作为 RSA 加 解密 安全 保障 的 大 整数 要 求 越 来 越 大 。 为 了 保 
证 RSA 使 用 的 安全 性 ,其 密 钥 的 位 数 一 直 在 增加 。 例 如 ,目前 一 般 认 为 RSA 需要 1024 位 
以 上 的 字 长 。 显 然 , 密 钥 长 度 的 增加 导致 了 其 加 解密 的 速度 大 为 降低 ,硬件 实现 也 变 得 越 来 
越 难以 忍受 ,这 对 使 用 RSA 的 应 用 带 来 了 很 重 的 负担 ,对 进行 大 量 安全 交易 的 电子 商务 更 
是 如 此 ,从 而 使 得 其 应 用 范围 越 来 越 受到 制约 。 
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(2) 第 二 类 公 钥 系统 的 安全 性 依赖 于 离散 对 数 的 计算 困难 性 (简称 DLP 问题 )。 设 G 
为 一 个 有 限 ABEL 加 法 群 ,假定 g 为 G 的 某 个 元 ,a 为 任意 的 整数 ,如 果 已 知 g 及 ag, 如 何 
求 出 整数 a 的 问题 在 数学 上 称 为 离散 对 数 问题 。 一 般 来 说 , 当 群 G 选择 得 当 , 且 整数 a 充分 
大 时 ,求解 此 类 问题 是 非常 困难 的 。 离 散 对 数 问题 又 可 细 分 为 两 类 : 一 类 为 某 个 有 限 域 上 
的 离散 对 数 问题 。 一 类 为 椭圆 曲线 上 的 离散 对 数 问题 。 两 者 比较 ,后 一 类 问题 求解 更 为 困 
难 些 。 基 于 这 一 判断 ,人 们 通过 对 群 G 作出 不 同 的 选择 时 ,构造 了 各 种 不 同 的 公 钥 系统 ,如 
Massey-Omura 公 钥 系统 .ElGamal 公 钥 系统 等 。 

(3) 第 三 类 公 钥 系统 是 建立 在 椭圆 曲线 离散 对 数 问题 上 的 密码 系统 , 称 为 椭圆 曲线 密 
码 系统 。 众 所 周知 ,定义 在 某 一 代数 数 域 上 椭圆 曲线 上 的 有 理 点 在 适当 地 定义 了 零 元 素 和 
运算 规则 ( 常 记 作 加 法 ) 后 ,构成 一 个 有 限 秩 的 Able 群 。 设 GF(p) 为 一 有 限 域 , 则 GF(p) 上 
的 一 条 椭圆 曲线 上 的 有 理 点 构成 一 个 有 限 群 Ep, 这 个 有 限 群 的 阶 可 经 由 某 些 特别 方法 计 
算出 来 。 设 已 知 属于 Ep 的 点 g 和 ag, 从 g 和 ag 求 出 a 是 非常 困难 的 ,此 种 问题 称 为 椭圆 
曲线 离散 对 数 问 题 , 它 较 通 常 的 离散 对 数 问题 更 为 困难 。 椭 圆 曲 线 加 密 算法 (Elliptic Curve 
Cryptography,ECC) 是 由 Neal Koblit 和 Victor Miller 于 1985 年 首先 提出 ,从 那 时 起 ECC 
的 安全 性 和 实现 效率 就 被 众多 的 数学 家 和 密码 学 家 所 广泛 研究 。 所 得 的 结果 表明 , 较 之 
RSA 算法 ,ECC 具有 密 钥 长 度 短 ,加 解密 速度 快 ,对 计算 环境 要 求 低 , 在 需要 通信 时 ,对 带宽 
要 求 低 等 特点 。 近 年 来 ,ECC 被 广泛 应 用 于 商用 密码 领域 ,这 可 由 ECC 被 许多 著名 的 国际 
标准 组 织 所 采纳 所 佐证 ,如 ANSI(American National Standards Institute) IEEE ISO 和 
NIST(National Institute of Standards and Technology)。ECC 最 新 的 发 展 状 况 可 参见 
2000 年 10 月 份 在 德国 ESSEN 举行 的 ECC 国际 会 议 上 所 发 表 的 各 种 文献 。 

在 密码 学 的 发 展 过 程 中 ,数学 和 计算 机 科学 至 关 重要 。 数 学 中 的 许多 分 支 如 数论 .概率 
统计 、 近 世代 数 \ 信 息 论 .椭圆 曲线 理论 ,算法 复杂 性 理论 、 自 动机 理论 ,编码 理论 等 都 可 以 在 
其 中 找到 各 自 的 位 置 。 它 的 踪影 遍及 数学 中 的 许多 分 支 ,而 且 还 推动 了 并 行 算法 的 研究 ,从 
而 成 为 近 若 干 年 来 非常 引人入胜 的 领域 。 

大 部 分 协议 在 计算 机 刚刚 开始 的 时 候 得 到 了 发 展 ,并 升级 为 利用 密码 术 来 获得 必要 的 
多 层 保护 的 协议 。 加 密 应 用 在 硬件 设备 和 软件 上 以 保护 数据 ,密码 学 同时 被 广泛 应 用 在 银 
行 交易 ,社团 的 对 外 联系 、 电 子 邮 件 、Web 交易 .无线 通信 、 存 储 机 密 信 息 、 传 真 和 电话 中 。 


2.1.2 密码 学 概述 
1. 相关 概念 


加 密 是 将 原始 数据 , 称 为 明文 (Plaintext 或 Cleartext) ,转化 成 一 种 看 似 随 机 的 、 不 可 读 
的 形式 , 称 为 密 文 (Ciphertext) 。 明 文 是 能 够 被 人 理解 (文件 ) 或 者 被 机 器 所 理解 (可 执行 代 
码 ) 的 一 种 形式 。 一 旦 明文 被 转化 为 密 文 ,不管 是 人 还 是 机 器 都 不 能 正确 地 处 理 它 ,除非 它 
被 解密 。 其 作用 是 机 密 信息 在 传输 过 程 中 不 会 泄露 。 

能 够 提供 加 密 和 解密 机 制 的 系统 称 为 密码 系统 (Cryptosystem) , 它 可 由 硬件 组 件 和 应 
用 程序 代码 构成 。 密 码 系统 使 用 一 种 加 密 算 法 ,该 算法 决定 了 这 个 加 密 系统 的 简单 或 复杂 
的 程度 。 大 部 分 的 加 密 算法 都 是 复杂 的 数学 公式 ,这 种 算法 以 特定 顺序 作用 于 明文 。 
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加 密 方法 使 用 一 种 秘密 的 数值 , 称 为 密 钥 (通常 是 一 长 串 二 进 制 数 ) , 密 钥 使 算法 得 以 具 
体 实现 ,用 来 加 密 和 解密 。 

算法 (Algorithm) 是 一 组 数学 规则 ,规定 加 密 和 解密 是 如 何 进 行 的 。 许 多 算法 是 公开 
的 ,而 不 是 加 密 过 程 的 秘密 部 分 。 加 密 算法 的 工作 机 制 可 以 保密 ,但 是 大 部 分 加 密 算法 都 被 
公开 并 为 人 们 所 熟悉 。 如 果 加 密 算法 的 内 在 机 制 被 公开 ,那么 必须 有 其 他 的 方面 是 保密 的 。 
被 秘密 使 用 的 一 种 众所周知 的 加 密 算法 就 是 密 钥 (Key)。 密 钥 可 以 由 一 长 串 随机 位 组 成 。 
一 个 算法 包括 一 个 密 钥 空 间 (Keyspace) , 密 钥 空间 是 一 定 范围 的 值 ,这 些 值 能 被 用 来 产生 密 
钥 。 密 钥 就 是 由 密 钥 空 间 中 的 随机 值 构成 的 。 密 钥 空 间 越 大 ,那么 可 用 的 随机 密 钥 也 就 越 
多 , 密 钥 越 随机 ,入 侵 者 就 越 难 攻破 它 。 例 如 ,如 果 一 种 算法 允许 2 位 长 的 密 钥 ,算法 的 密 钥 
空间 就 是 4, 这 表明 了 所 有 可 能 的 密 钥 的 总 数 。 这 个 密 钥 空间 太 小 ,攻击 者 很 容易 就 能 找到 
正确 的 密 钥 。 

较 大 的 密 钥 空 间 能 允许 更 多 的 密 钥 。 加 密 算法 应 该 使 用 整个 密 钥 空 间 , 并 尽 可 能 随机 
地 选取 密 钥 空 间 中 的 值 构 成 密 钥 。 密 钥 空 间 越 小 ,可 供 选 择 的 构成 密 钥 的 值 就 越 少 。 这 样 ， 
攻击 者 计算 出 密 钥 值 .解密 被 保护 的 信息 的 机 会 就 会 增 大 。 

当 消 息 在 两 个 人 之 间 传 递 时 ,如 果 窃 听 者 截获 这 个 消息 ,他 可 以 看 这 个 消息 ,但 是 消息 
已 经 被 加 密 , 因 此 毫 无 用 处 。 即 使 攻击 者 知道 这 两 者 之 间 使 用 的 加 密 和 解密 信息 的 算法 ,但 
是 不 知道 密 钥 ,攻击 者 所 拦截 的 消息 也 是 毫 无 用 处 的 。 


2. 保密 通信 模型 


保密 通信 的 基本 模型 如 图 2-1 所 示 , 其 中 信 源 (发 送 者 ) ,信和 宿 ( 接 收 者 ) 、 密 钥 管 理 、 密 码 
机 、 密 钥 、 加 密 、 解 密 的 定义 如 下 : 

(1) 信 源 : 信息 的 发 送 者 。 

(2) 信 宿 : 信息 的 接收 者 。 

(3) 密 钥 管理 : 第 三 方 的 密 钥 分 发 中 心 ( 密 钥 管理 之 间 通 信 的 密 钥 的 信道 假设 为 绝对 
安全 信道 ) 。 

(4) 密 钥 : 由 密 钥 管理 中 心 分 发 ,用 于 密码 机 加 /解密 的 信息 (Key) 。 

(5) 密码 机 : 负责 相关 的 加 密 运算 的 机 器 。 

(6) 加 密 : 通过 加 密 机 再 结合 密 钥 使 明文 变 成 密 文 。 

(7) 解密 : 通过 加 密 机 再 结合 密 钥 使 密 文 变 成 明文 ,是 加 密 的 逆 过 程 ( 其 使 用 的 Key 和 
加 密使 用 的 Key 未 必 完 全 相同 ) 。 


密码 机 
(加 密 ) 


密码 机 
(解密 ) 


信 源 
(发 送 者 ) 
画 窗 钥 信道 
窗 钥 管理 窗 钥 管理 
图 2-1 保密 通信 的 基本 模型 
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3. 密码 的 类 型 


有 两 种 基本 的 密码 类 型 : 代 换 密码 和 置换 密码 。 代 换 密码 (Substitution Cipher) 就 是 
用 不 同 的 位 字符、 字符 串 来 代替 原来 的 位 .字符 .字符 串 。 置 换 密码 (Transposition Cipher) 不 
是 用 不 同 的 文本 来 蔡 换 原来 的 文本 ,而 是 将 原来 的 文本 做 一 个 置换 ,即将 原来 的 位 .字符 、 字 
符 串 重新 排列 以 隐藏 其 意义 。 

代 换 密码 使 用 密 钥 来 规定 代 换 是 怎样 实现 的 。 在 Caesar 密码 中 每 一 个 字母 由 字母 表 
中 其 后 的 第 三 个 字母 来 替换 。 这 是 一 种 移 位 密码 。 如 果 Caesar 密码 应 用 在 英文 上 , 当 
George 加 密 消息 meow 时 , 密 文 就 是 phrz。 代 换 在 今天 的 算法 中 仍旧 使 用 ,但 是 与 这 个 例 
子 相 比 要 远 远 复杂 得 多 。 很 多 不 同类 型 的 代 换 在 不 止 一 个 字母 表 中 进行 。 

置换 算法 的 核心 是 搅乱 字母 。 密 钥 规定 字符 移动 到 的 位 置 。 今 天 使 用 的 大 部 分 密码 都 
在 消息 上 作用 长 而 复杂 的 代 换 和 置换 序列 。 密 钥 值 被 输入 算法 中 ,结果 是 一 系列 作用 在 明 
文 上 的 操作 ( 代 换 与 置换 ), 最 终生 成 了 密 文 。 简 单 的 代 换 和 置换 密码 对 于 使 用 频率 分 析 的 
攻击 来 说 是 脆弱 的 。 对 每 一 种 语言 来 说 ,有 些 词语 和 结构 使 用 的 频率 远 远 高 于 其 他 词语 。 
比如 说 ,在 英语 中 ,单词 the .and ,that 以 及 is 在 消息 和 对 话 中 使 用 频率 很 高 。 通 常 消息 都 
是 以 Hello 或 Dear 开始 ,以 Sincerely 或 Goodbye 来 结尾 。 这 些 模 式 非常 有 利于 攻击 者 计 
算出 明文 和 密 文 之 间 的 转换 方法 ,从 而 得 到 用 于 转换 的 密 钥 。 因 此 对 密码 系统 来 说 不 暴露 
这 些 模 式 是 非常 重要 的 。 更 加 复杂 的 算法 通常 使 用 多 于 一 个 的 字母 表 来 代 换 和 置换 ,以 减 
小 对 频率 分 析 的 脆弱 性 。 越 难 解 的 算法 ,最终 文 本 ( 密 文 ) 与 明文 之 间 的 差异 就 越 大 ,因此 寻 
找 与 之 匹配 的 模式 类 型 就 变 得 更 加 困难 。 


4. 密码 系统 的 强度 


加 密 方法 的 强度 来 源 于 算法 的 强 弱 、. 密 钥 的 机 密 性 、 密 钥 的 长 度 ` 原 始 向 量 以 及 它们 是 
怎样 共同 运作 的 。 保 密 系统 的 强度 指 在 不 公开 加 密 算法 或 密 钥 的 情况 下 ,破译 算法 或 密 钥 
的 难度 。 要 破解 一 个 密 钥 ,就 需要 处 理 数量 惊人 的 可 能 值 且 在 这 些 可 能 值 中 希望 找到 一 个 
值 ,该 值 可 以 用 来 加 密 一 个 特定 的 消息 。 密 码 系统 的 强度 还 跟 攻 破 密 钥 或 计算 出 密 钥 值 所 
必需 的 能 力 和 时 间 有 关 。 和 破译 密码 可 以 使 用 强力 法 ,强力 法 就 是 穷 举 所 有 可 能 的 密 钥 值 , 直 
到 得 到 有 意义 的 明文 。 依 赖 于 加 密 算 法 和 密 钥 的 长 度 的 不 同 ,这 可 能 是 一 个 非常 简单 的 任 
务 ,也 可 能 是 一 件 不 可 能 实现 的 任务 。 如 果 一 个 密 钥 能 够 在 3 小 时 之 内 被 一 台 计 算 机 破译 ， 
那么 这 一 密码 系统 的 强度 就 很 差 。 如 果 使 用 上 千 台 计算 机 用 120 万 年 才能 被 破译 一 个 密 
钥 , 那 么 它 的 强度 很 高 。 

设计 加 密 方法 的 目的 是 使 得 破译 花费 过 于 昂贵 或 者 是 耗 时 过 量 。 加 密 强 度 也 称 为 工作 
因素 , 即 对 攻击 者 破译 某 个 加 密 方法 所 需 的 工作 的 估计 。 即 使 加 密 算法 是 非常 复杂 而 周到 
彻底 的 ,也 有 其 他 的 问题 可 能 会 降低 加 密 方法 的 强度 。 因 为 密 钥 通 常 是 那些 用 来 加 密 和 人 解 
密 消息 的 秘密 值 , 不 恰当 的 保护 密 钥 的 方法 可 能 会 减弱 加 密 强度 。 一 个 非常 强大 的 加 密 算 
法 可 以 由 一 个 大 的 密 钥 空 间 以 及 数量 多 而 随机 的 密 钥 值 组 成 ,这 两 者 对 构成 一 个 强大 的 加 
密 系统 是 缺 一 不 可 的 。 但 是 ,如 果 用 户 与 他 人 共享 密 钥 时 ,那么 其 他 的 保密 因素 就 不 起 作 
用 了 5 

没有 缺陷 、 密 钥 空间 大 、 可 以 利用 密 钥 空 间 中 所 有 可 能 值 以 及 能 够 有 效 地 保护 现行 密 
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钥 , 这 是 保密 系统 非常 重要 的 因素 。 只 要 其 中 的 一 个 是 弱点 ,那么 这 一 脆弱 的 环节 就 会 影响 
整个 系统 。 


2.1.3 古典 密码 学 


古典 密码 是 密码 学 的 渊源 ,这些 密码 大 都 比较 简单 ,现在 已 很 少 采 用 了 。 然 而 ,研究 这 
些 密码 的 原理 ,对 于 理解 构造 和 分 析 现代 密码 都 是 十 分 有 益 的 。 

明文 字母 表 和 密 文 字母 表 相 同 , 为 Z, 一 {10,1,…,g 一 1}。 明 文 是 长 为 LL 的 字母 串 , 以 
mn 表示: m 二 (momi，… ,mr-1) ,其 中 每 个 m,€ 2Z,,l 二 0,1,…,L_1。 密 文 是 长 为 的 字母 
串 , 以 ec 表示: c==(co ,cl，…,cL-1) ,其 中 每 个 cE€2,,l==0,1,*…,L-_1。 


1. 单 表 代 换 密码 


单 表 代 换 密码 是 字母 表 到 自身 的 一 个 可 逆 映 射 f,f: ZZ,。 
令 明 文 风 = 二 morma…, 则 相应 密 文 为 c==coc 三 fn0) (ma)…。 


2. 移 位 代 换 密码 


加 密 变换 ; /(1) = 二 (1 十 kj)mod g,0 三 /二 gqg。 其 中 为 密 钥 ,0 寺 k 过 gqg。 

解密 变换 : /1(1)=(1 一 k)mod g.,0 志 /二 g。 

例如 , 恺 撤 (Caeser) 密 码 是 对 英文 26 个 字母 进行 移 位 代 换 的 密码 ,其 一 26。 选 择 密 钥 
&A 一 3, 则 有 下 述 代 换 表 : 

abcdefg hijklmn opqrst uvwxyz 

DEFGHII KLMNOPQ RSTUVW XYZABC 

明文 : m 二 Casear cipher is a shift substitution 

密 文 : c=FDVHDU FLSKHU LV D VKLIW VXEVWLWXWLRQ 


3. 乘 数 密码 


加 密 变 换 : /(1) 一作 mod g,0 和 (<q。 其 中 为 密 钥 ,0 委 A<g。 显 然 , 仅 当 (A,9g) 一 1 
( 即 & 与 4 互 素 ) 时 ,FL) 才 是 可 逆 变 换 。 

解密 变换 : 户 (0) 王 人 :mod q,0 委 /一 q。 

共有 9p(q) 个 & 满 足 : 0 三 kg,(k,g) 二 1。 这 就 是 说 , 乘 数 密码 共有 p(g) 个 不 同 的 

对 于 9q 王 26,p(26) 一 p(2X13) 一 p(2)Xyp(13) 一 12, 即 共有 12 个 不 同 的 密 钥 一 1,3,5， 
7,9,11,15,17,19,21,23 和 25。 此 时 对 应 的 A-: mod g 王 1,9,21,15,3,19,7,23,11,5， 
17 和 25。 


4. 放射 密码 


加 密 变 换 : /CO) 一 合十 ie mod q,0 三 /过 gq。 其 中 ,ks€Zgq,(ki,9) 二 1, 以 [ki po] 表示 
密 钥 。 当 k 二 0 时 就 得 到 乘 数 密码 , 当 k 二 1 时 就 得 到 移 位 密码 。 
4 一 26 时 可 能 的 密 钥 数 为 26 Xp(26) 二 26X12 二 312 个 。 
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5. 其 他 


除了 上 面 的 4 种 古典 密 钥 外 ,还 有 多 项 式 代 换 密码 、 密 钥 短 语 密 码 、 多 表 代 换 密码 等 古 
典 密码 。 古 典 的 多 字母 代 换 密码 f 或 者 采用 移 位 运算 ,或 者 采用 线性 运算 ,或 者 采用 仿 射 
运算 ,等 等 。 这 些 孤 立 的 运算 都 是 简单 快速 的 ,但 是 在 已 知 明文 攻击 之 下 都 是 非常 不 安全 
的 。 只 需要 比较 短 的 密 文 和 对 应 明文 就 可 以 确定 密 钥 。 现 代 分 组 密码 的 设计 思想 是 : 了 由 
若干 简单 运算 组 合 而 成 。 这 些 简单 运算 互相 屏蔽 ,使 得 已 知 明文 攻击 很 难 成 功 地 找 出 密 钥 。 


2.1.4 现代 密码 学 
1. 现代 密码 学 概述 


现代 密码 学 研究 信息 从 发 送 端 到 接收 端的 安全 传输 和 安全 存储 。 其 核心 是 密码 编码 学 
和 密码 分 析 学 。 前 者 致力 于 建立 难以 被 敌 方 或 对 手 攻破 的 安全 密码 体制 ; 后 者 则 力图 破译 
敌 方 或 对 手 已 有 的 密码 体制 。 

编码 密码 学 主要 致力 于 信息 加 密 、 信 息 认 证 ,数字 签名 和 密 钥 管理 方面 的 研究 。 信 息 加 
密 的 目的 在 于 将 可 读 信息 转变 为 无 法 识别 的 内 容 , 使 得 截获 这 些 信息 的 人 无 法 阅读 ,同时 信 
息 的 接收 入 能 够 验证 接收 到 的 信息 是 否 被 敌 方 算 改 或 蔡 换 过 。 数 字 签 名 就 是 信息 的 接收 入 
能 够 确定 接收 到 的 信息 是 否 确实 是 由 所 希望 的 发 信人 发 出 的 。 密 钥 管理 是 信息 加 密 中 最 难 
的 部 分 ,因为 信息 加 密 的 安全 性 在 于 密 钥 。 历 史上 ,各 国 军 事情 报 机 构 在 猎取 别 国 的 密 钥 管 
理 方法 上 要 比 破 译 加 密 算 法 成 功 得 多 。 

密码 分 析 学 是 一 门 研究 在 不 知道 通常 解密 所 需要 的 秘密 信息 的 情况 下 对 加 密 的 信息 进 
行 解密 的 学 问 ,也 称 为 破解 密码 。 其 工作 是 寻找 秘密 的 钥匙 。 


2. 密码 分 析 学 


密码 分 析 有 时 也 被 用 来 指 广义 上 的 绕 开 某 个 密码 学 算法 或 密码 协议 的 尝试 ,而 不 仅仅 
是 针对 加 密 算 法 。 但 是 ,密码 分 析 通常 不 包括 并 非 主要 针对 密码 算法 或 协议 的 攻击 。 尽 管 
这 些 攻击 方式 是 计算 机 安全 领域 里 的 重要 考虑 因素 ,而 且 通常 比 传统 的 密码 分 析 更 加 有 效 。 

密码 分 析 的 目标 在 密码 学 的 历史 上 从 古 至 今 都 一 样 ,但 实际 使 用 的 方法 和 技巧 也 随 着 
密码 学 的 发 展 而 变化 。 密 码 学 算法 和 协议 从 古代 只 利用 纸 笔 等 工具 ,发 展 到 第 二 次 世界 大 
战 时 的 Enigma 密码 机 ,直到 目前 的 基于 电子 计算 机 的 方案 。 密 码 分 析 也 随 之 改变 。 无 限 
制 地 成 功 破解 密码 已 经 不 再 可 能 。 事 实 上 ,只 有 很 少 的 攻击 是 实际 可 行 的 。 在 20 个 世纪 
70 年 代 中 期 , 公 钥 密码 学 作为 一 个 新 兴 的 密码 学 分 支 发 展 起 来 了 。 而 用 来 破解 这 些 公 钥 系 
统 的 方法 则 和 以 往 完 全 不 同 ,通常 需要 解决 精心 构造 出 来 的 纯 数 学 问题 。 其 中 最 著名 的 就 
是 大 数 的 质 因 数 分 解 。 

密码 和 密码 分 析 是 共同 演化 的 ,这 从 密码 学 史 中 可 以 看 得 很 明显 。 总 是 有 新 的 密码 机 
被 设计 出 来 并 取代 已 经 被 破解 的 设计 ,同时 也 总 是 有 新 的 密码 分 析 方法 被 发 明 出 来 以 破解 
那些 改进 了 的 方案 。 事 实 上 ,密码 和 密码 分 析 是 同一 枚 硬币 的 正 反 两 面 : 为 了 创建 安全 的 
密码 ,就 必须 考虑 到 可 能 的 密码 分 析 。 
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@.3 对 称 密码 体制 


本 节 将 介绍 对 称 密码 的 基本 概念 ,DES 加 密 技术 、AES 加 密 技术 和 IDEA 加 密 技术 。 
2.2.1 对 称 密码 概述 
1. 对 称 密码 简 述 


对 称 密码 术 早已 被 人 们 使 用 了 数 千年 。 对 称 系统 速度 非常 快 , 却 易 受 攻击 ,因为 用 于 加 
密 的 密 钥 必须 与 需要 对 消息 进行 解密 的 所 有 人 一 起 共享 。 非 对 称 密码 术 的 过 程 有 一 个 公共 
元 素 , 而 且 几 乎 从 不 共享 私 钥 。 与 非 对 称 密码 术 的 这 种 情况 不 同 , 对 称 密码 术 通 常 需要 在 一 
个 受 限 组 内 共享 密 钥 并 同时 维护 其 保密 性 。 对 于 一 个 查看 用 对 称 密码 加 密 的 数据 的 人 来 
说 ,如 果 对 用 于 加 密 数据 的 密 钥 根本 没有 访问 权 , 那 么 他 完全 不 可 能 查看 加 密 数 据 。 如 果 这 
样 的 密 钥 落 入 坏人 之 手 ,那么 就 会 彻底 地 危及 使 用 该 密 钥 加 密 数 据 的 安全 性 。 

对 称 密码 体制 是 一 种 传统 密码 体制 ,也 称 为 私 钥 密码 体制 。 在 对 称 加 密 系统 中 ,加 密 和 
解密 采用 相同 的 密 钥 。 因 为 加 解密 密 钥 相同 ,需要 通信 的 双方 必须 选择 和 保存 他 们 共同 的 
密 钥 ,各 方 必须 信任 对 方 不 会 将 密 钥 泄密 出 去 ,这 样 就 可 以 实现 数据 的 机 密 性 和 完整 性 。 对 
于 具有 个 用 户 的 网 络 ,需要 n(n 一 1)/2 个 密 钥 ,在 用 户 群 不 是 很 大 的 情况 下 ,对称 加 密 系 
统 是 有 效 的 。 但 是 对 于 大 型 网 络 , 当 用 户 群 很 大 ,分 布 很 广 时 , 密 钥 的 分 配 和 保存 就 成 了 问 
题 。 对 机 密 信息 进行 加 密 和 验证 随 报 文 一 起 发 送 报 文摘 要 (或 散 列 值 ) 来 实现 。 比 较 典 型 的 
算法 有 DES(Data Encryption Standard, 数 据 加 密 标 准 ) 算 法 及 其 变形 Triple DES (三 重 
DES) .GDES( 广 义 DES); 欧洲 的 IDEA; 日 本 的 FEAL N、RC5 等 。DES 标准 由 美国 国家 
标准 局 提出 ,主要 应 用 于 银行 业 的 电子 资金 转账 (EFT) 领 域 。DES 的 密 钥 长 度 为 56 位 。 
Triple DES 使 用 两 个 独立 的 56 位 密 钥 对 交换 的 信息 进行 三 次 加 密 , 从 而 使 其 有 效 长 度 达 
到 112 位 。RC2 和 RC4 方法 是 RSA 数据 安全 公司 的 对 称 加 密 专 利 算法 ,它们 采用 可 变 密 
钥 长 度 的 算法 。 通 过 规定 不 同 的 密 钥 长 度 ,C2 和 RC4 能 够 提高 或 降低 安全 的 程度 。 对 称 
密码 算法 的 优点 是 计算 开销 小 ,加 密 速度 快 ,是 目前 用 于 信息 加 密 的 主要 算法 。 它 的 局 限 性 
在 于 存在 着 通信 和 贸易 双方 之 间 确 保密 钥 安 全 交换 的 问题 。 此 外 , 某 一 贸易 方 有 几 个 贸易 关 
系 , 它 就 要 维护 几 个 专用 密 钥 。 它 也 没 法 鉴别 贸易 发 起 方 或 贸易 最 终 方 ,因为 贸易 双方 的 密 
钥 相同 。 另 外 ,由 于 对 称 加 密 系统 仅 能 用 于 对 数据 进行 加 解密 处 理 , 提 供 数 据 的 机 密 性 ,不 
能 用 于 数字 签名 ,因此 人 们 迫切 需要 寻找 新 的 密码 体制 。 


2. 密码 长 度 


通常 提 到 的 密 钥 都 有 特定 的 位 长 度 , 如 56 位 或 128 位 。 这 些 长 度 都 是 对 称 密 钥 密码 的 
长 度 ,而 非 对 称 密 钥 密码 中 至 少 私有 元 素 的 密 钥 长 度 是 相当 长 的 。 而 且 这 两 组 的 密 钥 长 度 
之 间 没 有 任何 相关 性 ,除非 偶尔 在 使 用 某 一 给 定 系 统 的 情况 下 ,达到 某 一 给 定 密 钥 长 度 提供 
的 安全 性 级 别 。 但 是 ,Phil Zimmermann 提出 80 位 的 对 称 密 钥 目前 在 安全 性 方面 与 1024 位 的 
非 对 称 密 钥 近似 相等 ; 要 获得 128 位 对 称 密 钥 提供 的 安全 性 ,可 能 需要 使 用 3000 位 的 非 对 
称 密 钥 。 在 任何 特定 组 中 ,所 用 密 钥 的 长 度 通常 是 确定 安全 性 时 的 一 个 重要 因素 。 而 且 , 密 
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钥 长 度 并 不 是 线性 的 ,而 是 每 增加 一 位 就 加 信 。2* = 二 4,2 一 8, 2 一 16, 依 此 类 推 。Giga 
Group 提供 一 个 简单 的 比喻 , 它 提出 如 果 一 个 茶匙 足够 容纳 所 有 可 能 的 40 位 的 密 钥 组 合 ， 
那么 所 有 56 位 的 密 钥 组 合 需要 一 个 游泳 池 来 容纳 ,而 容纳 所 有 可 能 的 128 位 的 密 钥 组 合 的 
体积 将 会 粗略 地 与 地 球 的 体积 相当 。 一 个 用 十 进 制 表示 的 128 位 的 值 大 概 是 340 ,后 面 跟 
36 个 0。 

对 称 密 钥 方 法 比 非 对 称 方法 快 得 多 ,因此 加 密 大 量 文本 时 ,对 称 密 钥 方法 是 首选 机 制 。 
诸如 DES 密码 在 软件 中 至 少 比 非 对 称 密码 RSA 快 100 倍 , 而 且 在 专门 的 硬件 上 实现 时 可 
能 高 达 10 000 倍 。 该 方法 最 适合 在 单 用 户 或 小 型 组 的 环境 中 保护 数据 ,通常 都 是 通过 使 用 
密码 实现 。 


3. 对 称 密码 的 类 型 


通常 使 用 分 组 密码 (Block Cipher) 或 序列 密码 (Stream Cipher) 实 现 对 称 密码 。 

1) 流 密码 

序列 密码 ,也 称 为 流 密码 ,是 对 称 密码 算法 的 一 种 。 序 列 密码 具有 实现 简单 、 便 于 硬件 
实施 .加 解密 处 理 速度 快 . 没 有 或 只 有 有 限 的 错误 传播 等 特点 ,因此 在 实际 应 用 中 ,特别 是 专 
用 或 机 密 机 构 中 保持 着 优势 ,典型 的 应 用 领域 包括 无 线 通信 、 外 交通 信 。1949 年 ,Shannon 
证 明了 只 有 一 次 一 密 的 密码 体制 是 绝对 安全 的 ,这 给 序列 密码 技术 的 研究 以 强大 的 支持 。 
序列 密码 方案 的 发 展 是 模仿 一 次 一 密 系统 的 尝试 ,或 者 说 “一 次 一 密 ” 的 密码 方案 是 序列 密 
码 的 雏形 。 如 果 序列 密码 所 使 用 的 是 真正 随机 方式 的 ,与 消息 流 长 度 相同 的 密 钥 流 , 则 此 时 
的 序列 密码 就 是 一 次 一 密 的 密码 体制 。 若 能 以 一 种 方式 产生 一 随机 序列 ( 密 钥 流 ), 这 一 序 
列 由 密 钥 所 确定 , 则 利用 这 样 的 序列 就 可 以 进行 加 密 , 即 将 密 钥 ,明文 表示 成 连续 的 符号 或 
二 进 制 ,对 应 地 进行 加 密 。 

车 ma 的 取 值 为 0 或 1, 则 称 ma 为 一 位 。 位 mizzz72s… ms 称 为 一 个 长 度 为 n 的 比特 
串 。 无 穷 位 mzm…mmwi… 称 为 一 个 比特 流 。 两 个 比特 流光 二 mmoma*…mwnati"“* 和 
k 二 ikzks…kwkst1"… 做 运算 得 到 一 个 新 的 比特 流 : c 王 caiczcs …cocntl…， 其 中 cs 一 mo 十 
ka(mod2) .2 一 1,2.3,…, 称 比特 流 c 是 比特 流 m 与 比特 流 A 的 逐 位 模 2 加 ,或 逐 位 异 或 。 
记 作 : c 王 2' 十 ,明文 是 比特 流 m, 称 为 明文 流 。 加 密 密 钥 和 解密 密 钥 相同 ,是 比特 流 k, 称 
为 密 钥 流 ; 密 文 是 比特 流 c, 称 为 密 文 流 。 加 密 算法 和 解密 算法 相同 ,加 密 : c= 二 m' 十 'k; 解 
密 : xz 一 c' 十 必 , 则 称 这样 的 加 解密 算法 为 流 密码 ,又 称 其 为 序列 密码 ,如 图 2-2 所 示 。 


有 记忆 的 
计算 元 件 


明文 密 文 
ew | Ba | — -| E() 


2-2 流 密码 的 基本 模型 
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2) 分 组 密码 

分 组 密码 是 将 明文 消息 编码 表示 后 的 数字 (简称 明文 数字 ) 序 列 , 划 分 成 长 度 为 n 的 组 
(可 看 成 长 度 为 n 的 矢量 ), 每 组 分 别 在 密 钥 的 控制 下 变换 成 等 长 的 输出 数字 (简称 密 文 数 
字 ) 序 列 。 若 明文 流 被 分 割 成 等 长 串 , 各 串 用 相同 的 加 密 算法 和 相同 的 密 钥 进行 加 密 , 就 是 
分 组 密码 。 即 当 明 文 和 密 文 是 固定 长 度 为 n 的 比特 串 区 二 mmzms*…mawc 三 cc"…ca， 加 
密 密 钥 和 解密 密 钥 相等 ,是 固定 长 度 为 j 的 比特 串 x 二 zzsx3…zj ,加 密 算法 为 c= 二 El(m,xz)， 
解密 算法 为 m= 二 D(c,x) 二 D(E(m,x),x), 则 称 这 样 的 加 解密 算法 为 分 组 密码 ,如 图 2-3 
所 示 。 


图 2-3 分 组 密码 的 基本 模型 


3) 序列 密码 与 分 组 密码 的 对 比 

分 组 密码 以 一 定 大 小 作为 每 次 处 理 的 基本 单元 ,而 序列 密码 则 是 以 一 个 元 素 (一 个 字母 
或 一 位 ) 作 为 基本 的 处 理 单元 。 

序列 密码 是 一 个 随时 间 变 化 的 加 密 变 换 , 具 有 转换 速度 快 、 低 错误 传播 的 优点 ,硬件 实 
现 电路 更 简单 ; 其 缺点 是 低 扩散 (意味 着 混乱 不 够 ) ,插入 及 修改 的 不 敏感 性 。 

分 组 密码 使 用 的 是 一 个 不 随时 间 变化 的 固定 变换 ,具有 扩散 性 好 ,插入 敏感 等 优点 ; 其 
缺点 是 加 解密 处 理 速度 慢 ,存在 错误 传播 。 

序列 密码 涉及 大 量 的 理论 知识 ,提出 了 众多 的 设计 原理 ,也 得 到 了 广泛 的 分 析 , 但 许多 
研究 成 果 并 没有 完全 公开 ,这 也 许 是 因为 序列 密码 目前 主要 应 用 于 军事 和 外 交 等 机 密 部 门 
的 缘故 。 目 前 ,公开 的 序列 密码 算法 主要 有 RC4、SEAL 等 。 


2.2.2 ”DES 加密 


美国 国家 标准 局 (NBS) 于 1977 年 公布 了 由 IBM 公司 研制 的 一 种 加 密 算法 ,并 批准 把 
它 作 为 非 机 要 部 门 使 用 的 数据 加 密 标准 (Data Encryption Standard) ,简称 DES。 自 从 公布 
以 来 , 它 一 直 超 越 国界 成 为 国际 上 商用 保密 通信 和 计算 机 通信 的 最 常用 的 加 密 算法 。 当 时 
规定 DES 的 使 用 期 为 10 年 。 后 来 美国 政府 宣布 延长 它 的 使 用 期 ,其 原因 大 概 有 两 条 : 一 
是 DES 尚未 受到 严重 的 威胁 ,二 是 一 直 没 有 新 的 数据 加 密 标 准 问世 。DES 超期 服役 了 很 
长 时 间 ,在 国际 通信 保密 的 舞台 上 活跃 了 20 年 。 


1. 算法 概述 


DES 算法 为 密码 体制 中 的 对 称 密码 体制 。 明 文 按 64 位 进行 分 组 , 密 钥 长 64 位 , 密 钥 
事实 上 是 56 位 参与 DES 运算 (第 8、16、24、32、40、48、56、64 位 是 校 验 位 ,使 得 每 个 密 钥 都 
有 奇数 个 1) 分 组 后 的 明文 组 和 56 位 的 密 钥 按 位 替代 或 交换 的 方法 形成 密 文 组 的 加 密 方法 。 


2. DES 工作 的 基本 原理 
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和信 口 参数 有 三 个 : key、data 和 mode。key 为 加 密 解密 使 用 的 密 钥 ,data 为 加 密 解 密 的 


数据 ,mode 为 其 工作 模式 。 当 模式 为 加 密 模式 时 ,明文 按照 


64 位 进行 分 组 ,形成 明文 组 ， 


key 用 于 对 数据 加 密 ; 当 模 式 为 解密 模式 时 ,key 用 于 对 数据 解密 。 实 际 运用 中 , 密 钥 只 用 


到 了 64 位 中 的 56 位 ,这 样 才 具 有 高 的 安全 性 。 
3. 主要 流程 


DES 算法 把 64 位 的 明文 输入 块 变 为 64 位 的 密 文 输 
出 块 , 它 所 使 用 的 密 钥 也 是 64 位 。 整 个 算法 的 主流 程 如 
图 2-4 所 示 。 

1) 置换 规则 表 

其 功能 是 把 输入 的 64 位 数据 块 按 位 重新 组 合 , 并 把 输 
出 分 为 L,。、R。 两 部 分 ,每 部 分 各 长 32 位 ,其 置换 规则 
如 下 : 

58,50,42,34,26,18,10,2,60,52,44,36,28,20,12,4， 

62,54,46,38,30,22,14,6,64,56,48,40,32,24,16,8， 

57,49,41,33,25,17,9,1,59,51,43,35,27,19,11,3， 

61,53,45,37,29,21,13,5,63,55,47,39,31,23,15,7 
即将 输入 的 第 58 位 换 到 第 一 位 ,第 50 位 换 到 第 2 位 , 依 此 
类 推 , 最 后 一 位 是 原来 的 第 7 位 。L。、R。 则 是 换 位 输出 后 
的 两 部 分 ,L。 是 输出 的 左 32 位 ,R。 是 右 32 位 ,例如 ,设置 
换 前 的 输入 值 为 D1D;D;…Ds, 则 经 过 初始 置换 后 的 结果 
为 Lo。=DssDso*…Ds; R= Ds Ds*…D; 。 

经 过 16 次 迭代 运算 后 ,得 到 Lis、Ris, 将 此 作为 输 


1 
LRo | | R=Lo@fRo, AD) 
U 1 


经 过 16 轮 相同 运算 


1 


Rie=L1s®/Rs, Kie) LieRis 


逆 初 始 置换 


图 2-4 DES 算 法 流程 图 


入 ,进行 逆 置 换 , 即 得 到 密 文 输出 。 首 置换 正好 是 初始 置换 的 逆 运 算 。 例 如 ,第 1 位 经 过 
初始 置换 后 ,处 于 第 40 位 ,而 通过 逆 置 换 , 又 将 第 40 位 换 回 到 第 1 位 ,其 逆 置 换 规则 如 下 


所 示 : 
40,8,48,16,56,24,64,32,39,7,47,15,55,23,63,31， 
38,6,46,14,54,22,62,30,37,5,45,13,53,21,61,29， 
36,4,44,12,52,20,60,28,35,3,43,11,51,19,59,27， 
34,2,42,10,50,18,58 26,33,1,41,9,49,17,57,25 
2) 放大 换 位 表 
32,1,2,3,4,5,4,5,6,7,8,9,8,9,10,11, 
12,13,12,13,14,15,16,17,16,17,18,19,20,21,20,21, 
22,23,24,25,24,25,26,27,28,29,28,29,30,31,32,1 
3) 单纯 换 位 表 
16,7,20,21,29,12,28,17,1,15,23,26,5,18,31,10, 
2,8,24,14,32,27,3,9,19,13,30,6,22,11,4,25 
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4) 功能 表 

Jf(R;,K;) 算 法 描述 图 中 ,Si ,S,,… ,Ss 为 选择 函数 ,其 功能 是 把 48 位 数据 变 为 32 位 数 
据 。 下 面 给 出 选择 函数 SG 一 1,2,…,8) 的 功能 表 : 

选择 函数 S， 

Ss 
ds 91 2 15511 3 100 125 659507 
O15575451452513, 117102612， 211 9，573785 
直人 1960211 15512,9575351055505 
S127852545951575551153,145105056513 
S2: 
571587145671173479，7， 297137125055，10， 
Bldr7 L520.87 L413,0v1 1065951L55 
0,14,7,11,10,4,13,1,5,8,12,6,9,3,2,15， 
3,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9 
S:: 
0,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8， 
EP ey 
040 8: 15739011 :2.12 51014,.7, 
Ll0u i300 0rd Lo Lil 5 
S: 
T1430065 010 28365 L112 45s 
leverlLl dn 0 aol il ld 
LlorovOy Lol LS LL13 LLY 
S1010v da 05 Ll 2 2514 
Soi 
2 12, ,17,1051156,8)5,3y15,1350514,9; 
La oD 1 L015vI0 ,0865 
2 lero ds 
itr i Tl ld 15 0 9 10 .4053 
Soe: 
ll 1051570, 060080013; 9714 75051Ly 
10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8， 
0 
4 12 9560 Li ial 600583 
Si: 
dll 0 1 1 0 75 10.60 1 
0ull D0 0 3 5 1 .10370 
Ld llsL3 L237314;10515,658505539;2 
6 9 1, L000 214 
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Ss: 

8:28 06516:11,151070,37145570;127T: 

Ll5s1958,1053574 12556511;0514;9523 

Ta 92, L420 6011013 10.375:8; 

2 1 14 74 i085 19:16512.050;3556s11 

在 此 以 Si 为 例 说 明 其 功能 。 在 S, 中 共有 4 行 数据 ,命名 为 0、1、2、3 行 ; 每 行 有 
16 列 , 命 名 为 0、1、2、3、…、14、15 列 。 

现 设 输入 为 : D=DiD;D;D,D;Ds 

令 : 列 =D:D:D,D;， 

行 =DiD。 

然后 在 S, 表 中 查 得 对 应 的 数 ,以 4 位 二 进 制 表 示 , 此 即 为 选择 函数 Si 的 输出 。 下 面 给 
出 子 密 钥 K;(48 位 ) 的 生成 算法 。 

5) 子 密 钥 的 生成 算法 

从 子 密 钥 K; 的 生成 算法 描述 图 中 可 以 看 到 : 初始 Key 值 为 64 位 ,但 DES 算法 规定 ， 
其 中 第 8,16,…,64 位 是 奇偶 校 验 位 ,不 参与 DES 运算 。 故 Key 实际 可 用 位 数 便 只 有 
56 位 。 即 经 过 缩小 选择 换 位 表 1 的 变换 后 ,Key 的 位 数 由 64 位 变 成 了 56 位 ,此 56 位 分 为 
Co 、D。 两 部 分 ,各 28 位 ,然后 分 别 进行 第 1 次 循环 左 移 , 得 到 Ci 、D ,将 C1(28 位 )、Di(28 位 ) 
合并 得 到 56 位 ,再 经 过 缩小 选择 换 位 2, 从 而 便 得 到 了 密 钥 K。(48 位 )。 依 此 类 推 , 便 可 得 
到 Ki、K,、…、Kis ,不 过 需要 注意 的 是 ,16 次 循环 左 移 对 应 的 左 移 位 数 要 依据 下 述 规则 
进行 。 

6) 循环 左 移 位 数 

rn | 

以 上 介绍 了 DES 算法 的 加 密 过 程 。DES 算法 的 解密 过 程 同 加 密 过 程 是 一 样 的 ,区 别 
仅仅 在 于 第 一 次 迭代 时 用 子 密 钥 Kis ,第 二 次 用 Ki,,… ,最 后 一 次 用 Ko ,算法 本 身 并 没有 任 
何 变 化 。 


4. 破解 方法 


攻击 DES 的 主要 形式 被 称 为 蛮 力 的 或 彻底 密 钥 搜索 , 即 重复 尝试 各 种 密 钥 直到 有 一 个 
符合 为 止 。 如 果 DES 使 用 56 位 的 密 钥 , 则 可 能 的 密 钥 数量 是 2* 个 。 随 着 计算 机 系统 能 力 
的 不 断 发 展 ,DES 的 安全 性 比 它 刚 出 现时 会 弱 得 多 ,然而 从 非 关 键 性 质 的 实际 出 发 , 仍 可 以 
认为 它 是 足够 的 。 不 过 ,DES 现在 仅 用 于 旧 系 统 的 鉴定 ,而 更 多 地 选择 新 的 加 密 标准 一 一 
高 级 加 密 标准 (Advanced Encryption Standard,AES) 。 


5. DES 算法 的 安全 性 


安全 性 比较 高 的 一 种 算法 ,目前 只 有 一 种 方法 可 以 破解 该 算法 , 那 就 是 穷 举 法 。 采 用 
64 位 密 钥 技术 ,实际 只 有 56 位 有 效 ,8 位 用 来 校 验 。 壁 如 ,有 这 样 的 一 台 PC, 它 能 每 秒 计算 
一 百 万 次 ,那么 256 位 空间 它 要 穷 举 的 时 间 为 2285 年 ,所 以 这 种 算法 还 是 比较 安全 的 一 种 
算法 。 
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6. TripleDES 


三 重 DES 算法 (Triple DES) 用 来 解决 使 用 DES 技术 56 位 时 密 钥 日 益 减 弱 的 强度 问 
题 , 其 方法 是 : 使 用 两 个 独立 密 钥 对 明文 运行 DES 算法 三 次 ,从 而 得 到 112 位 有 效 密 钥 强 
度 。TripleDES 有 时 称 为 DESede( 表 示 加 密 、 解 密 和 加 密 这 三 个 阶段 )。 


2.2.3 AES 加密 
1. AES 简介 


鉴于 DES 不 安全 性 的 增加 ,美国 政界 和 商界 一 直 在 寻求 高 强度 、 高 效率 的 蔡 代 算法 。 
1997 年 ,美国 国家 标准 技术 研究 所 (NIST) 为 了 履行 其 法 定 职责 ,发 起 了 一 场 推选 用 于 保 
护 敏 感 的 (无 密级 的 ) 联 邦 信息 的 对 称 密 钥 加 密 算法 的 活动 。 于 是 密码 学 界 的 精英 们 纷 
纷 加 入 竞争 的 行列 ,提交 自己 设计 的 分 组 密码 算法 。 与 此 同时 ,NIST 制定 了 用 于 比较 候 
选 算法 的 评估 准则 。 该 评估 准则 分 为 三 大 项 : 安全 性 ; 成 本 ; 算法 和 实现 特性 。1998 年 ， 
NIST 宣布 接受 15 个 候选 算法 并 提请 全 世界 密码 学 界 协助 分 析 这 些 候 选 算法 。 分 析 的 内 
容 包括 对 每 个 算法 的 安全 性 和 效率 进行 初步 检验 。NIST 通过 对 这 些 初 步 研究 结果 的 考 
察 , 于 1999 年 8 月 20 日 选 定 了 MARS、RC6、RIJNDAEL、Serpent 和 Twofish 这 5 个 算法 
作为 参加 决赛 的 算法 。 经 公众 对 决赛 算法 进行 更 进一步 的 分 析 评 论 , NIST 决定 推荐 
RIJNDAEL 作为 高 级 加 密 标准 。2000 年 10 月 2 日 ,美国 商业 部 长 Norman Y，Mineta 宣 
布 *“RIJNDAEL 数据 加 密 算法 ”最 终 获 胜 , 同 时 为 此 而 在 全 球 范围 内 角逐 了 3 年 的 激烈 竞争 
随即 结束 。2006 年 ,高 级 加 密 标准 已 然 成 为 对 称 密 钥 加 密 中 最 流行 的 算法 之 一 。 该 算法 为 
比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 所 设计 ,结合 两 位 作者 的 名 字 ,以 Rijndael 
命名 。 


2. 方法 步骤 


AES 是 一 种 分 组 加 密 的 算法 。AES 加 密 数据 块 分 组 长 度 为 128 位 , 密 钥 长 度 可 以 是 
128 位 、192 位 .256 位 中 的 任意 一 个 。AES 加 密 过 程 是 在 一 个 4X4 的 字 节 和 矩阵 上 运作 ,这 
个 矩阵 又 称 为 “ 体 (State)”, 其 初 值 就 是 一 个 明文 区 块 ( 和 矩阵 中 一 个 元 素 大 小 就 是 明文 区 块 
中 的 一 个 Byte) 。(Rijndael 加 密 法 因 支 持 更 大 的 区 块 ,其 矩阵 行 数 可 视 情 况 增 加 ) 加 密 时 ， 
各 轮 AES 加 密 循环 ( 除 最 后 一 轮 外 ) 均 包含 4 个 步骤 。 

第 一 步 : AddRoundKey。 和 矩阵 中 的 每 一 个 字 节 都 与 该 次 回合 金 钥 (Round Key ) 做 
XOR 运算 ; 每 个 子 密 钥 由 密 钥 生成 方案 产生 。 

第 二 步 : SubBytes。 通 过 一 个 非 线性 的 替换 函数 ,用 查找 表 的 方式 把 每 个 字 节 替换 成 
对 应 的 字 节 。 

第 三 步 : ShiftRows。 将 矩阵 中 的 每 个 横 列 进行 循环 式 移 位 。 

第 四 步 : MixColumns。 为 了 充分 混合 矩阵 中 各 个 直行 的 操作 ,这 个 步骤 使 用 线性 转换 
来 混合 每 次 内 联 的 4 个 字 节 。 

最 后 一 个 加 密 循环 中 省 略 MixColumns 步骤 ,而 以 另 一 个 AddRoundKey 取代 。 
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2.2.4 ”IDEA 加 密 
1. IDEA 加 密 算法 概述 


IDEA (International Data Encryption Algorithm, 国 际 数据 加 密 算法 ) 是 瑞士 的 James 
Massey、Xuejia Lai 等 人 提出 的 加 密 算法 ,在 密码 学 中 属于 数据 块 加 密 算法 (Block Cipher) 
类 。IDEA 使 用 长 度 为 128 位 的 密 钥 ,数据 块 大 小 为 64 位 。 从 理论 上 讲 ,IDEA 属于 “ 强 ” 加 
密 算法 ,至 今 还 没有 出 现 对 该 算法 的 有 效 攻 击 算法 。 

早 在 1990 年 , Xuejia Lai 等 人 在 EuroCrypt?” 90 年 会 上 提出 了 分 组 密码 建议 PES 
(Proposed Encryption Standard) 。 在 EuroCrypt’”91 年 会 上 ,Xuejia Lai 等 人 又 提出 了 PES 
的 修正 版 IPES(Improved PES)。 目 前 IPES 已 经 商品 化 ,并 改名 为 IDEA。IDEA 已 由 瑞 
士 的 Ascom 公司 注册 专利 ,以 商业 目的 使 用 IDEA 算法 必须 向 该 公司 申请 许可 。 

这 种 算法 是 在 DES 算法 的 基础 上 发 展 出 来 的 ,类 似 于 三 重 DES。 发 展 IDEA 也 是 因为 
感到 DES 具有 密 钥 太 短 等 缺点 。IDEA 的 密 钥 为 128 位 ,这 么 长 的 密 钥 在 今后 若干 年 内 应 
该 是 安全 的 。IDEA 属于 一 个 比较 新 的 算法 ,其 安全 性 研究 也 在 不 断 进 行 之 中 。 在 IDEA 
算法 公布 后 不 久 ,就 有 学 者 指出 : IDEA 的 密 钥 扩展 算法 存在 缺陷 ,导致 在 IDEA 算法 中 存 
在 大 量 弱 密 钥 类 ,但 这 个 弱点 通过 简单 的 修改 密 钥 扩展 算法 (加 入 异 或 算 子 ) 即 可 克服 。 在 
1997 年 的 EuroCrypt?97 年 会 上 ,John Borst 等 人 提出 了 对 圈 数 减少 的 IDEA 的 两 种 攻击 算 
法 : 对 3.5 圈 IDEA 的 截 短 差 分 攻击 (Truncate Diffrential Attack) 和 对 3 圈 IDEA 的 差分 
线性 攻击 (Diffrential Linear Attack)。 但 作者 也 同时 指出 ,这 两 种 攻击 算法 对 整 8. 5 圈 的 
IDEA 算法 不 可 能 取得 实质 性 的 攻击 效果 。 目 前 尚未 出 现 新 的 攻击 算法 ,一般 认为 攻击 整 
8.5 圈 IDEA 算法 唯一 有 效 的 方法 是 穷尽 搜索 128 位 的 密 钥 空间 。 

目前 IDEA 在 工程 中 已 有 大 量 应 用 实例 ,PGP(Pretty Good Privacy) 就 使 用 IDEA 作为 
其 分 组 加 密 算法 ; 安全 套 接 字 层 (Secure Socket Layer,SSL) 也 将 IDEA 包含 在 其 加 密 算法 
库 SSLRef 中 ; IDEA 算法 专利 的 所 有 者 Ascom 公司 也 推出 了 一 系列 基于 IDEA 算法 的 安 
全 产品 ,包括 基于 IDEA 的 Exchange 安全 搬 件 ,IDEA 加 密 芯 片 .IDEA 加 密 软 件 包 等 。 
IDEA 算法 的 应 用 和 研究 正在 不 断 走向 成 熟 。 


2. IDEA 算法 原理 


IDEA 是 一 种 由 8 个 相似 圈 (Round) 和 一 个 输出 变换 (Output Transformation) 组 成 的 
迭代 算法 。IDEA 的 每 个 圈 都 由 三 种 函数 : 模 (216 十 1) 乘 法 、 模 216 加 法 和 按 位 XOR 组 成 。 

在 加 密 之 前 ,IDEA 通过 密 钥 扩展 (Key Expansion) 将 128 位 的 密 钥 扩展 为 52B 的 加 密 
密 钥 (Encryption Key,EK) ,然后 由 EK 计算 出 解密 密 钥 (Decryption Key,DK)。EK 和 DK 
分 为 8 组 半 密 钥 ,每 组 长 度 为 6B, 前 8 组 密 钥 用 于 8 圈 加 密 ,最 后 半 组 密 钥 (4B) 用 于 输出 变 
换 。IDEA 的 加 密 过 程 和 解密 过 程 是 一 样 的 ,只 不 过 使 用 不 同 的 密 钥 (加 密 时 用 EK ,解密 时 
用 DK)。 

密 钥 扩展 的 过 程 如 下 : 

(1) 将 128 位 的 密 钥 作为 EK 的 前 8B; 

(2) 将 前 8B 循环 左 移 25 位 ,得 到 下 一 8byte, 将 这 个 过 程 循环 7 次 ; 
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(3) 在 第 7 次 循环 时 , 取 前 4B 作为 EK 的 最 后 4B; 
(4) 至 此 52B 的 EK 生成 完毕 。 


&3 非 对 称 密码 体制 


本 节 将 介绍 非 对 称 密码 体制 .RSA 公 钥 密码 体制 和 椭圆 曲线 密码 系统 。 


2.3.1 非 对 称 密码 体制 
1. 非 对 称 密 钥 加 密 体制 


非 对 称 密 钥 加 密 体制 ,又 称 为 公 钥 密码 体制 。 它 是 指 对 信息 加 密 和 解密 时 所 使 用 的 密 
钥 是 不 同 的 , 即 有 两 个 密 钥 , 一 个 是 可 以 公开 的 , 男 一 个 是 私有 的 ,这 两 个 密 钥 组 成 一 对 密 钥 
对 。 如 果 使 用 其 中 一 个 密 钥 对 数据 进行 加 密 , 则 只 有 用 另外 一 个 密 钥 才能 解密 。 由 于 加 密 
和 解密 时 所 使 用 的 密 钥 不 同 ,这 种 加 密 体制 称 为 非 对 称 密 钥 加 密 体制 。 

非 对称 加 密 体制 是 由 明文 .加密 算法 .公开 密 钥 和 私有 密 钥 对 、 密 文 ,解密 算法 组 成 。 一 
个 实体 的 非 对 称 密 钥 对 中 ,由 该 实体 使 用 的 密 钥 称 为 私有 密 钥 ,私有 密 钥 是 保密 的 ; 能 够 被 
公开 的 密 钥 称 为 公开 密 钥 。 这 两 个 密 钥 相 关 但 不 相同 。 

在 公开 密 钥 算法 中 ,用 公开 的 密 钥 进行 加 密 , 用 私有 密 钥 进 行 解密 的 过 程 称 为 加 密 。 而 
用 私有 密 钥 进行 加 密 , 用 公开 密 钥 进行 解密 的 过 程 称 为 认证 。 

非 对 称 加 密 技术 也 叫 公 钥 加 密 , 即 公开 密 钥 密码 体制 ,是 建立 在 数学 函数 基础 上 的 一 种 
加 密 方法 , 它 使 用 两 个 密 钥 , 在 保密 通信 、 密 钥 分 配 和 鉴别 等 领域 都 产生 了 深远 的 影响 。 

在 运用 非 对 称 密码 技术 传送 数据 文件 时 ,文件 发 送 者 也 可 以 使 用 接收 者 的 公开 密 钥 对 
原始 文件 进行 加 密 , 这 样 只 有 掌握 了 相应 的 私 用 密 钥 的 接收 者 才能 对 其 进行 解密 ,任何 没有 
相应 私 用 密 钥 的 其 他 人 都 无 法 对 其 解密 和 阅读 文件 内 容 , 而 接收 者 收 到 文件 并 解密 后 , 则 可 
以 从 文件 的 内 容 来 识别 文件 的 来 源 。 因 此 ,将 对 称 密 钥 密 码 技 术 与 非 对 称 密 钥 密码 技术 结 
合 起 来 使 用 ,再 加 上 数字 摘要 ,数字 签名 等 安全 认证 手段 , 则 可 以 解决 电子 商务 交易 中 信息 
传送 的 安全 性 和 身份 的 认证 问题 。 

非 对 称 密 钥 密码 体制 是 现代 密码 学 最 重要 的 发 明和 进展 。 一 般 理解 密码 学 就 是 保护 信 
息 传递 的 机 密 性 ,但 这 仅仅 是 当今 密码 学 的 一 个 方面 。 对 信息 发 送 与 接收 入 的 真实 身份 的 
验证 ,对 所 发 出 /接收 信息 在 事后 的 不 可 抵赖 以 及 保障 数据 的 完整 性 也 是 现代 密码 学 研究 的 
另 一 个 重要 方面 。 公 开 密 钥 密 码 体制 对 这 两 方面 的 问题 都 给 出 了 出 色 的 解答 ,并 正在 继续 
产生 许多 新 的 思想 和 方案 。 


2. 公 钥 加 密 技术 


公 钥 加 密 技 术 是 针对 私 钥 密 码 体制 的 缺陷 提出 来 的 。 在 公 钥 加 密 系 统 中 ,加 密 和 解密 
是 相对 独立 的 ,加 密 和 解密 会 使 用 两 把 不 同 的 密 钥 ,加 密 密 钥 (公开 密 钥 ) 向 公众 公开 , 谁 都 
可 以 使 用 ; 解密 密 钥 (秘密 密 钥 ) 只 有 解密 人 自己 知道 ,非法 使 用 者 根据 公开 的 加 密 密 钥 无 
法 推算 出 解密 密 钥 , 顾 其 可 称 为 公 钥 密码 体制 。 如 果 一 个 人 选择 并 公布 了 他 的 公 钥 ,另外 任 
何人 都 可 以 用 这 一 公 钥 来 加 密 传送 给 那个 人 的 消息 。 私 钥 是 秘密 保存 的 ,只 有 私 钥 的 所 有 
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者 才能 利用 私 钥 对 密 文 进行 解密 。 公 钥 密 钥 的 密 钥 管理 比较 简单 ,并 且 可 以 方便 地 实现 数 
字 签名 和 验证 。 但 算法 复杂 ,加 密 数 据 的 速率 较 低 。 公 钥 加 密 系统 不 存在 对 称 加 密 系统 中 
密 钥 的 分 配 和 保存 问题 ,对 于 具有 个 用 户 的 网 络 , 仅 需 要 2n 个 密 钥 。 公 和 钥 加 密 系统 除了 
用 于 数据 加 密 外 ,还 可 用 于 数字 签名 。 

公 和 钥 加 密 系统 可 提供 以 下 功能 : 

(1) 机 密 性 。 保 证 非 授权 人 员 不 能 非法 获取 信息 ,通过 数据 加 密 来 实现 。 

(2) 确认 。 保 证 对 方 属于 所 声称 的 实体 ,通过 数字 签名 来 实现 。 

(3) 数据 完整 性 。 保 证 信息 内 容 不 被 算 改 ,入 侵 者 不 可 能 用 假 消息 代替 合法 消息 ,通过 
数字 签名 来 实现 。 

(4) 不 可 抵赖 性 。 发 送 者 不 可 能 事后 否认 他 发 送 过 消息 ,消息 的 接收 者 可 以 向 中 立 的 
第 三 方 证 实 所 指 的 发 送 者 确实 发 出 了 消息 ,通过 数字 签名 来 实现 。 

可 见 , 公 钥 加 密 系 统 满足 信息 安全 的 所 有 主要 目标 。 

公 钥 密码 体制 的 算法 中 最 著名 的 代表 是 RSA 系统 ,此 外 还 有 背包 密码 、McEliece 密 
码 .Diffe_Hellman、Rabin、 零 知识 证 明 ,椭圆 曲线 和 EIGamal 算法 等 。 

在 实际 应 用 中 ,对称 密码 系统 与 公 钥 密码 系统 经 常 有 两 种 结合 方式 : 电子 信封 和 交换 
会 话 密 钥 。 电 子 信封 是 指使 用 对 称 密码 系统 对 明文 加 密 , 然 后 用 公 钥 系统 对 对 称 密码 的 密 
钥 加 密 , 最 后 将 明文 加 密 结 果 和 密 钥 加 密 结果 一 起 传 给 接收 者 ; 接收 者 接 到 数据 后 , 先 通过 
公 钥 系统 解密 出 对 称 密码 的 密 钥 ,再 用 对 称 密码 系统 解 出 明文 。 交 换 会 话 密 钥 是 指 在 实际 
通信 之 前 ,通信 双方 先 使 用 公 钥 系 统 共享 一 个 随机 的 对 称 密码 的 密 钥 ,然后 再 用 这 个 密 钥 通 
过 对 称 密码 系统 进行 实质 的 数据 交换 。 这 两 种 结合 方式 都 能 够 有 效 地 发 挥 两 种 密码 系统 的 
优势 ,达到 两 全 其 美的 效果 。 


2.3.2 RSA 公 钥 密码 体制 


RSA 公 钥 加 密 算法 是 1977 年 由 Ron Rivest\Adi Shamirh 和 LenAdleman 在 美国 麻 省 
理工 学 院 开 发 的 。RSA 的 取 名 来 自 他 们 三 者 的 名 字 。RSA 是 目前 最 有 影响 力 的 公 钥 加 密 
算法 , 它 能 够 抵抗 到 目前 为 止 已 知 的 所 有 密码 攻击 ,已 被 ISO 推荐 为 公 钥 数据 加 密 标 准 。 
RSA 算法 基于 一 个 十 分 简单 的 数论 事实 : 将 两 个 大 素数 相 乘 十 分 容易 ,但 那 时 想 要 对 其 乘 
积 进行 因 式 分 解 却 极其 困难 ,因此 可 以 将 乘积 公开 作为 加 密 密 钥 。 


1. RSA 概述 


在 公开 密 钥 密码 体制 中 ,加 密 密 钥 ( 即 公 开 密 钥 )PK 是 公开 信息 ,而 解密 密 钥 ( 即 秘密 
密 钥 )SK 是 需要 保密 的 。 加 密 算法 E 和 解密 算法 D 也 都 是 公开 的 。 昌 然 秘 密 密 钥 SK 是 
由 公开 密 钥 PK 决定 的 ,但 却 不 能 根据 PK 计算 出 SK。RSA 算法 先生 成 一 对 RSA 密 钥 ,其 
中 之 一 是 保密 密 钥 ,由 用 户 保存 ; 另 一 个 为 公开 密 钥 ,可 对 外 公开 ,甚至 可 在 网 络 服务 器 中 
注册 。 为 提高 保密 强度 ,RSA 密 钥 至 少 为 500 位 ,一 般 推荐 使 用 1024 位 。 这 就 使 加 密 的 计 
算 量 很 大 。 为 减少 计算 量 ,在 传送 信息 时 , 常 采 用 传统 加 密 方法 与 公开 密 钥 加 密 方法 相 结 合 
的 方式 , 即 信息 采用 改进 的 DES 或 IDEA 对 话 密 钥 加 密 ,然后 使 用 RSA 密 钥 加 密 对 话 密 钥 
和 信息 摘要 。 对 方 收 到 信息 后 ,用 不 同 的 密 钥 解 密 并 可 核对 信息 摘要 。 

RSA 算法 是 第 一 个 能 同时 用 于 加 密 和 数字 签名 的 算法 ,也 易于 理解 和 操作 。RSA 是 
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被 研究 得 最 广泛 的 公 钥 算法 ,从 提出 到 现在 的 三 十 多 年 里 ,经 历 了 各 种 攻击 的 考验 ,逐渐 为 
人 们 接受 ,普遍 认为 是 目前 最 优秀 的 公 钥 方案 之 一 。 

RSA 的 安全 性 依赖 于 大 数 的 因子 分 解 ,但 并 没有 从 理论 上 证 明 破译 RSA 的 难度 与 大 
数 分 解难 度 等 价 。 即 RSA 的 重大 缺陷 是 无 法 从 理论 上 把 握 它 的 保密 性 能 如 何 ,而且 密码 学 
界 多 数 人 士 倾 向 于 因子 分 解 不 是 NPC 问题 。 

RSA 的 缺点 主要 有 : 

(1) 产生 密 钥 很 麻烦 ,受到 素数 产生 技术 的 限制 ,因而 难以 做 到 一 次 一 密 。 

(2) 分 组 长 度 太 大 ,为 保证 安全 性 ,n 至 少 也 要 600 位 以 上 ,使 运算 代价 很 高 ,尤其 是 速 
度 较 慢 , 较 对 称 密码 算法 慢 几 个 数量 级 。 且 随 着 大 数 分 解 技术 的 发 展 ,这 个 长 度 还 在 增加 ， 
不 利于 数据 格式 的 标准 化 。 目 前 ,SET(Secure Electronic Transaction) 协 议 中 要 求 CA 采 
用 2048 位 的 密 钥 ,其 他 实体 使 用 1024 位 的 密 钥 。 

(3) RSA 密 钥 长 度 随 着 保密 级 别提 高 ,增加 很 快 。 


2. RSA 算法 原理 


1) 原理 

首先 找 出 三 个 数 p.g、r, 其 中 pg 是 两 个 相 异 的 质数 ,是 与 (p 一 1)(g 一 1) 互 质 的 数 。 
pp .dsr 这 三 个 数 就 是 Private Key( 私 钥 ) 。 

a 1 m, 使 得 rm 二 lmod(p 一 1)(g 一 1), 其 中 rm 是 除 以 (p 一 1)(g 一 1) 的 余数 ,为 

这 个 mm 一 定 存在 ,因为 + 与 (p 一 1)(g 一 1) 互 质 , 用 加 转 相 除 法 就 可 以 得 到 。 

然后 计算 n= 二 pg。m,n 这 两 个 数 就 是 Public Key( 公 钥 )。 

2) 举例 

编码 过 程 是 : 若 资 料 为 a, 将 其 看 成 是 一 个 大 整数 ,假设 a 二 n。 如 果 a 三 n 的 话 。 就 将 
a 表示 成 y 进位 (sn, 通常 取 s 二 2 7) , 则 每 一 位 数 均 小 于 ,然后 分 段 编码 。 接 着 计算 0 一 
a^*m mod n, (0 三 bn) ,其 中 ^ 表 示 次 方 。4 就 是 编码 后 的 结果 。 解 码 的 过 程 是 计算 c==b^r 
mod pg (0 三 c 二 pgq) ,解码 完毕 。 


3. 安全 性 


RSA 的 安全 性 依赖 于 大 数 分 解 ,但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 明 ， 
因为 没有 证 明 破 解 RSA 就 一 定 需要 作 大 数 分 解 。 假 设 存 在 一 种 无 须 分 解 大 数 的 算法 , 那 它 
肯定 可 以 修改 成 大 数 分 解 算法 。 目 前 ,RSA 的 一 些 变种 算法 已 被 证 明 等 价 于 大 数 分 解 。 不 
管 怎样 ,分 解 n 是 最 显然 的 攻击 方法 。 现 在 ,人 们 已 能 分 解 多 个 十 进 制 位 的 大 素数 。 因 此 ， 
模 数 必须 选 大 一 些 , 因 具体 适用 情况 而 定 。 


4. 速度 


由 于 进行 的 都 是 大 数 计算 ,使 得 RSA 最 快 的 情况 也 比 DES 慢 上 好 几 倍 ,无 论 是 软件 还 
是 硬件 实现 。 速 度 一 直 是 RSA 的 缺陷 ,一 般 来 说 只 用 于 少量 数据 加 密 。RSA 的 速度 比 对 
应 同样 安全 级 别 的 对 称 密码 算法 要 慢 1000 倍 左右 。 


5. RSA 的 边 信道 攻击 
针对 RSA 的 边 信道 攻击 目前 大 多 处 于 实验 室 阶段 , 边 信道 攻击 并 不 是 直接 对 RSA 的 
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算法 本 身 进行 攻击 ,而 是 针对 计算 RSA 的 设备 的 攻击 。 目 前 的 边 信 道 攻击 一 般 是 针对 硬件 
实现 RSA 算法 的 芯片 进行 的 。 

目前 国内 外 防范 公 钥 密码 边 信道 攻击 主要 以 牺牲 效率 为 代价 。 公 钥 密码 的 实现 效率 一 
直 是 信息 安全 系统 的 应 用 瓶颈 ,进一步 损害 算法 效率 , 必 将 造成 信息 系统 性 能 恶化 。 因 此 ， 
寻找 高 效 又 抗 功 耗 分 析 的 公 钥 算法 实现 途径 ,并 结合 其 他 层面 抗 攻 击 手 段 ,使 密码 器 件 运行 
效率 、 功 耗 面积 等 综合 因素 实现 最 优化 ,无 疑 是 极 富 挑战 性 的 课题 ,不 仅 对 抗 边 信道 攻击 理 
论 研究 有 重要 价值 ,而 且 对 广泛 应 用 的 智能 卡 ( 尤 其 是 银行 卡 、 手 机 SIM 或 USIM 卡 )、 各 种 
硬件 密码 电子 设备 有 时 也 包括 软件 实现 的 密码 算法 的 安全 应 用 无 疑 具有 极 大 的 现实 意义 。 

边 信 道 攻击 以 功 耗 分 析 和 公 钥 密码 为 研究 重点 ,在 对 各 种 类 型 系列 、 型 号 ,规模 的 基本 
电路 运行 过 程 中 的 功 耗 轨迹 进行 大 量 研究 .掌握 其 变化 规律 的 基础 上 ,继续 研究 电路 工艺 、 
结构 算法 .协议 对 功 耗 轨 迹 的 影响 ,经 过 一 系列 处 理 , 从 中 提取 出 密 钥 信息 。 目 标 是 针对 功 
耗 分 析 攻 击 机 理 , 提 出 抗 功 耗 分 析 的 综合 优化 新 方法 ,并 尽量 兼顾 算法 效率 。 

边 信 道 攻击 研究 涉及 密码 学 信息论、 算法 理论 和 噪声 理论 ,还 涉及 硬件 电路 设计 、 通 
信 、 信 号 处 理 、 统 计 分 析 、 模 式 识别 等 诸多 技术 。 

目前 , 边 信道 攻击 在 若干 关键 问题 研究 上 已 取得 了 实质 性 进展 。 

目前 国内 已 经 有 大 学 的 研究 者 提出 了 公 钥 密码 等 功 耗 编码 的 综合 优化 方法 ,佐证 了 安 
全 性 和 效率 的 可 兼顾 性 。 截 至 目前 ,研究 团队 已 针对 著名 公 钥 密码 算法 RSA 的 多 种 实现 算 
法 和 方式 成 功 实施 了 计时 攻击 \ 简 单 功 耗 和 简单 差分 功 耗 分 析 攻击 ,实验 验证 了 多 种 防御 方 
法 ,包括 “等 功 耗 编码 ”方法 的 有 效 性 ,并 完成 了 大 规模 功 耗 分 析 自 动 测试 平台 的 自主 开发 。 


6. RSA 算法 的 缺点 


(1) 产生 密 钥 很 麻烦 ,受到 素数 产生 技术 的 限制 ,因而 难以 做 到 一 次 一 密 。 

(2) 安全 性 低 。RSA 的 安全 性 依赖 于 大 数 的 因子 分 解 , 但 并 没有 从 理论 上 证 明 破译 
RSA 的 难度 与 大 数 分 解难 度 等 价 ,而 且 密码 学 界 多 数 人 士 倾向 于 因子 分 解 不 是 NPC 问题 。 
目前 ,人 们 已 能 分 解 140 多 个 十 进 制 位 的 大 素数 ,这 就 要 求 使 用 更 长 的 密 钥 ,速度 更 慢 。 另 
外 ,目前 人 们 正在 积极 寻找 攻击 RSA 的 方法 ,如 选择 密 文 攻 击 ,一 般 攻 击 者 是 将 某 一 信息 作 
一 下 伪装 (Blind) ,让 拥有 私 钥 的 实体 签署 ,然后 经 过 计算 就 可 得 到 它 所 想 要 的 信息 。 

(3) 速度 太 慢 。 由 于 RSA 的 分 组 长 度 太 大 ,为 保证 安全 性 ,n 至 少 也 要 600 位 以 上 ,使 
运算 代价 很 高 ,尤其 是 速度 较 慢 , 较 对 称 密码 算法 慢 几 个 数量 级 。 且 随 着 大 数 分 解 技 术 的 发 
展 , 这 个 长 度 还 在 增加 ,不 利于 数据 格式 的 标准 化 。 目 前 ,SET(Secure Electronic Transaction ) 
协议 中 要 求 CA 采用 2048 位 长 的 密 钥 ,其 他 实体 使 用 1024 位 的 密 钥 。 为 了 速度 问题 ,目前 
人 们 广泛 使 用 单 、 公 钥 密 码 结合 使 用 的 方法 , 优 缺 点 互补 : 单 钥 密码 加 密 速 度 快 ,人 们 用 
它 来 加 密 较 长 的 文件 ,然后 用 RSA 给 文件 密 钥 加 密 , 极 好 地 解决 了 单 钥 密码 的 密 钥 分 发 
问题 。 


2.3.3 椭圆 曲线 密码 系统 


椭圆 曲线 密码 学 (Elliptic Curve Cryptography,ECC) 是 基于 椭圆 曲线 数学 的 一 种 公 钥 
密码 的 方法 。 椭 圆 曲 线 在 密码 学 中 的 使 用 是 在 1985 年 由 Neal Koblitz 和 Victor Miller 分 
别 独立 提出 的 。ECC 的 主要 优势 是 在 某 些 情况 下 它 比 其 他 的 方法 使 用 更 小 的 密 钥 (如 
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RSA) 提 供 相 当 的 或 更 高 等 级 的 安全 。ECC 的 另 一 个 优势 是 可 以 定义 群 之 间 的 双 线性 映 
射 ,基于 Weil 对 或 是 Tate 对 。 双 线性 映射 已 经 在 密码 学 中 发 现 了 大 量 的 应 用 ,例如 基于 身 
份 的 加 密 。 不 过 它 的 一 个 缺点 是 加 密 和 解密 操作 的 实现 比 其 他 机 制 花费 的 时 间 长 。 椭 圆 曲 
线 密码 学 的 许多 形式 有 稍微 的 不 同 , 所 有 的 都 依赖 于 被 广泛 承认 的 解决 椭圆 曲线 离散 对 数 
问题 的 困难 性 上 ,对 应 有 限 域 上 椭圆 曲线 的 群 。 

椭圆 曲线 并 不 是 椭圆 ,之 所 以 称 为 椭圆 曲线 是 因为 它们 是 用 三 次 方程 来 表示 的 ,并 且 该 
方程 与 计算 椭圆 周 长 的 方程 相似 。 在 ECC 中 ,我 们 关心 的 是 某 种 特殊 形式 的 椭圆 曲线 , 即 
定义 在 有 限 域 上 的 椭圆 曲线 。 椭 圆 曲 线 的 吸引 人 之 处 在 于 提供 了 由 “元 素 ” 和 “组 合 规则 ”来 
组 成 群 的 构造 方式 。 用 这 些 群 来 构造 密码 算法 具有 完全 相似 的 特性 , 且 没 有 减少 密码 分 析 
的 分 析 量 。 


1. Diffie-Hellman 密 钥 交 换 协 议 


Diffie-Hellman 是 一 种 确保 共享 KEY 安全 穿越 不 安全 网 络 的 方法 。Whitefield 与 
Martin Hellman 在 1976 年 提出 了 一 种 密 钥 一 致 性 算法 , 称 为 Diffie-Hellman 密 钥 交换 协 
议 /算法 (Diffie-Hellman Key Exchange/Agreement Algorithm) 。Diffie-Hellman 是 一 种 建 
立 密 钥 的 方法 ,而 不 是 加 密 方法 。 它 所 产生 的 密 钥 可 用 于 加 密 、 进 一 步 的 密 钥 管理 或 任何 其 
他 的 加 密 方式 。 这 个 机 制 的 巧妙 在 于 需要 安全 通信 的 双方 可 以 用 这 个 方法 确定 对 称 密 钥 ， 
然后 可 以 用 这 个 密 钥 进行 加 密 和 解密 。 但 是 注意 ,这 个 密 钥 交 换 协 议 / 算 法 只 能 用 于 密 钥 的 
交换 ,而 不 能 进行 消息 的 加 密 和 解密 。 双 方 确定 要 用 的 密 钥 后 ,要 使 用 其 他 对 称 密 钥 操 作 加 
密 算法 实际 加 密 和 解密 消息 。Diffie-Hellman 密 钥 交换 算法 及 其 优化 首次 发 表 的 公开 密 钥 
算法 出 现在 Diffie 和 Hellman 的 论文 中 ,这 篇 影响 深远 的 论文 奠定 了 公开 密 钥 密码 编码 学 。 

假设 用 户 A 希望 与 用 户 B 建立 一 个 连接 ,并 用 一 个 共享 的 秘密 密 钥 加 密 在 该 连接 上 传 
输 的 报 文 。 用 户 A 产生 一 个 一 次 性 的 私有 密 钥 XA, 并 计算 出 公开 密 钥 YA 并 将 其 发 送 给 
用 户 B。 用 户 B 产 生 一 个 私有 密 钥 XB, 计 算出 公开 密 钥 YB 并 将 它 发 送 给 用 户 A 作为 响 
应 。 必 要 的 公开 数值 g 和 a 都 需要 提前 知道 。 另 一 种 方法 是 用 户 A 选择 g 和 a 的 值 ,并 将 
这 些 数 值 包含 在 第 一 个 报 文中 。 下 面 再 举 一 个 使 用 Diffie-Hellman 算法 的 例子 。 假 设 有 一 
组 用 户 ( 例 如 一 个 局 域 网 上 的 所 有 用 户 ) ,每 个 人 都 产生 一 个 长 期 的 私有 密 钥 XA ,并 计算 一 
个 公开 密 钥 YA。 这 些 公开 密 钥 数 值 , 连 同 全 局 公开 数值 g 和 a 都 存储 在 某 个 中 央 目 录 中 。 
在 任何 时 刻 , 用 户 BB 都 可 以 访问 用 户 A 的 公开 数值 ,计算 一 个 秘密 密 钥 , 并 使 用 这 个 密 钥 发 
送 一 个 加 密 报 文 给 A。 如 果 中 央 目 录 是 可 信任 的 ,那么 这 种 形式 的 通信 就 提供 了 保密 性 和 
一 定 程度 的 鉴别 功能 。 因 为 只 有 A 和 B 可 以 确定 这 个 密 钥 ,其 他 用 户 都 无 法 解读 报 文 ( 保 
密 性 )。 接 收 方 A 知道 只 有 用 户 B 才能 使 用 此 密 钥 生成 这 个 报 文 (鉴别 )。Diffie-Hellman 
算法 具有 两 个 吸引 力 的 特征 : 仅 当 需要 时 才 生 成 密 钥 , 减 小 了 将 密 钥 存储 很 长 一 段 时 间 而 
致使 遭受 攻击 的 机 会 。 除 了 对 全 局 参数 的 约定 外 , 密 钥 交换 不 需要 事先 存在 的 基础 结构 。 


2. ElGamal 密码 体制 


ElGamal 算法 是 一 种 较为 常见 的 加 密 算法 , 它 是 基于 1984 年 提出 的 公 钥 密码 体制 和 椭 
圆 曲 线 加 密 体 系 。 既 能 用 于 数据 加 密 , 也 能 用 于 数字 签名 ,其 安全 性 依赖 于 计算 有 限 域 上 离 
散 对 数 这 一 难题 。 在 加 密 过 程 中 ,生成 的 密 文 长 度 是 明文 的 两 倍 , 且 每 次 加 密 后 都 会 在 密 文 
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中 生成 一 个 随机 数 开 。 

1) 密 钥 产生 方法 

首先 选择 一 个 素数 p, 两 个 随机 数 g 和 xz,g,r 二 p, 计 算 y 二 g ^z(modp), 则 其 公 角 为 
y,8 和 p。 私 钥 是 +。g 和 p 可 由 一 组 用 户 共享 。 

ElGamal 用 于 数字 签名 。 被 签 信息 为 M, 首 先 选择 一 个 随机 数 &,k 与 p 一 1 互 质 ,计算 
a=g “k(modp). 

再 用 扩展 Euclidean 算法 对 下 面 方程 求解 0: 

M= xaitkh(modp—1) 
签名 就 是 (a,b)。 随 机 数 k 必须 丢弃 。 

验证 时 要 验证 下 式 : 

y^axa^b(modp) = g “M(modp) 
同时 一 定 要 检验 是 否 满足 1 二 a 二 p ,否则 签名 容易 伪造 。 
ElGamal 用 于 加 密 。 被 加 密 信 息 为 M, 首 先 选 择 一 个 随机 数 k,k 与 p 一 1 互 质 ,计算 
a= gk(modp) 
b= ykM(modp) 
(a,b) 为 密 文 ,是 明文 的 两 们 长。 解密 时 计算 : 
M= 6b/a^r(modp) 

ElGamal 签名 的 安全 性 依赖 于 乘法 群 (IFp) * 上 的 离散 对 数 计算 。 素 数 p 必须 足够 
大 , 且 p 一 1 至 少 包含 一 个 大 素数 。 

因子 以 抵抗 Pohlig& Hellman 算法 的 攻击 。M 一 般 都 应 采用 信息 的 HASH 值 ( 如 
SHA 算法 )。ElGamal 的 安全 性 主要 依赖 于 p 和 g , 若 选取 不 当 则 签名 容易 伪造 ,应 保证 8 
对 于 p 一 1 的 大 素数 因子 不 可 约 。 

2) ElGamal 数字 签名 方案 

在 系统 中 有 两 个 用 户 A 和 B,A 要 发 送 消息 到 B, 并 对 发 送 的 消息 进行 签名 。B 收 到 A 
发 送 的 消息 和 签名 后 进行 验证 。 

(1) 系统 初始 化 。 选 取 一 个 大 的 素数 p,g 是 GF (p) 的 本 原 元 。h: GF(Cp) 一 GF(b) 是 
一 个 单 向 Hash 函数 。 系 统 将 参数 p、g 和 六 存放 于 公用 的 文件 中 ,在 系统 中 的 每 一 个 用 户 
都 可 以 从 公开 的 文件 中 获得 上 述 参数 。 

(2) 对 发 送 的 消息 进行 数字 签名 的 过 程 。 假 定 用 户 A 要 向 B 发 送 消息 m [1,p 一 1], 并 
对 消息 m 签字 。 

第 一 步 : 用 户 A 选取 一 个 zx [1.p 一 1] 作 为 秘密 密 钥 , 计 算 y 二 (mod p) 作 为 公 钥 。 将 
公 钥 y 存放 于 公用 的 文件 中 。 

第 二 步 : 随机 选取 k [1,p 一 1] 且 gcd(k,(p 一 1)) 二 1, 计 算 r 二 (mod p)。 对 一 般 的 
ElGamal 型 数字 签名 方案 有 签名 方程 (Signature Equation): ar 二 bk 十 c(mod(p 一 1))。 其 
中 (Ca,6,c) 是 (hlm) ,r,s) 数 学 组 合 的 一 个 置换 。 由 签名 方程 可 以 解 出 ,那么 (Cm, (r,s)) 就 
是 A 对 消息 mm 的 数字 签名 。 

第 三 步 : A 将 (m,(r,s)) 发 送 到 B。 

(3) 数字 签名 的 验证 过 程 。 当 B 接收 到 A 发 送 的 消息 (m,(r,s)), 再 从 系统 公开 文件 
和 A 的 公开 文件 中 获得 系统 公用 参数 p,g,h 和 A 的 公 钥 y。 由 Cm, (r,s)) 计 算出 (a,b,c) 
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验证 等 式 =(mod p) 是 否 成 立 。D. Bleichenbache*GeneratingElGamal Signatures Without 
Knowing the Secret Key” 中 提 到 了 一 些 攻 击 方法 和 对 策 。ElGamal 的 一 个 不 足 之 处 是 它 的 
密 文成 倍 扩张 。 美 国 DSS (Digital Signature Standard) 标 准 的 DSA (Digital Signature 
Algorithm) 算 法 是 经 EIGamal 算法 演变 而 来 。 


3. 椭圆 曲线 国际 标准 


椭圆 曲线 密码 系统 已 经 形成 了 若干 国际 标准 ,其 涉及 加 密 签名、 密 钥 管理 等 方面 ,包括 : 
(1) IEEE P1363: 加 密 、 签 名 、 密 钥 协商 机 制 。 

(2) ANSI X9: 椭圆 曲线 数字 签名 算法 , 即 椭圆 曲线 密 钥 协商 和 传输 协议 。 

(3) ISO/IEC: 椭圆 曲线 ElIGamal 体制 签名 。 

(4) IETF: 椭圆 曲线 DH 密 钥 交换 协议 。 

(5) ATM Forum: 异步 传输 安全 机 制 。 

(6) FIPS 186-2: 美国 政府 用 于 保证 其 电子 商务 活动 中 的 机 密 性 和 完整 性 。 


4. 椭圆 曲线 技术 实现 


ECC 的 技术 实现 可 以 分 成 4 个 层次 : 运算 层 、 密 码 层 、 接 口 层 和 应 用 层 。 运 算 层 最 基 
础 .最 核心 ; 应 用 层 最 接近 用 户 。 

1) 运算 层 

运算 层 的 主要 功能 是 提供 密码 算法 所 需要 的 所 有 数论 运算 支持 ,包括 大 整数 加 \ 减 、 乘 、 
除 、 模 ,gcd、 逆 、 模 寡 等 。 运 算 层 的 实现 效率 将 对 整个 密码 系统 的 效率 起 决定 性 作用 。 因 而 
运算 层 的 编程 工作 是 算法 实现 最 核心 .最 基础 ,也 是 最 艰巨 的 部 分 。 

2) 密码 层 

密码 层 的 主要 功能 是 在 运算 层 的 支持 上 选择 适当 的 密码 体制 ,科学 地 、 准 确 地 、 安 全 地 
实现 密码 算法 。 在 相同 的 运算 层 的 基础 上 ,可 以 构建 起 多 种 密码 体制 。 对 于 密码 体制 和 具 
体 结构 的 选择 和 实现 是 密码 层 的 核心 内 容 。 最 终 ,密码 系统 的 安全 性 将 决定 于 密码 层 的 实 
现 能 力 。 在 密码 层 中 ,为 了 支持 公 钥 密码 系统 ,通常 必须 提供 5 种 操作 : 生成 密 钥 对 加密、 
解密 、 签 名 和 验证 签名 。 

3) 接口 层 

接口 层 的 主要 功能 是 对 各 种 软 硬 件 平台 提供 公 钥 密码 功能 支持 。 其 工作 重点 在 于 对 各 
种 硬件 环境 的 兼容 .对 各 种 操作 系统 的 兼容 .对 各 种 高 级 语言 的 兼容 .对 多 种 应 用 需求 兼容 。 
其 难点 主要 在 于 保持 良好 的 一 致 性 .可 移植 性 .可 重用 性 ,以 有 限 的 资源 换取 应 用 层 尽 可 能 
多 的 自由 空间 。 

4) 应 用 层 

应 用 层 是 最 终 用 户 所 能 接触 到 的 唯一 层面 . 它 为 用 户 提供 应 用 功能 和 操作 界面 。 应 用 
功能 包括 交易 、 网 络 、 文 件数 据 库 、 加 解密 ,签名 及 验证 等 。 操 作 界 面包 括 图 形 、 声 音 、 指 纹 、 
键盘 鼠标 等 。 

ECC 的 实现 效率 一 般 表 现 为 ECC 公 钥 密码 功能 的 效率 。 实 现 效率 是 被 多 种 因素 制约 
和 影响 的 。 下 面 列举 了 在 实现 ECC 的 过 程 中 遇 到 的 涉及 ECC 实现 效率 的 方面 。 

(1) ECC 密码 机 制 。 众 所 周知 ,任何 密码 理论 都 必须 在 某 种 密码 机 制 上 实现 才能 完成 
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密码 功能 (如 加 密 、 签 名 等 )。 同 一 种 密码 理论 也 可 以 运用 于 不 同 的 密码 机 制 上 ,而 且 它们 的 
实现 效率 也 不 尽 相同 。 我 们 在 自行 发 明 的 、 拥 有 自主 知识 产权 的 密码 机 制 上 实现 ECC ,并 
且 容 易 证 明 其 安全 性 不 低 于 其 他 常用 密码 体制 , 且 效 率 更 高 。 

(2) 安全 前 上 脆性 。 由 于 公 钥 系统 的 安全 性 建立 在 数学 的 困难 性 上 ,因此 在 选择 ECC 参 
数 时 ,不 能 一 味 地 追求 速度 快 ,而 是 应 该 在 理论 上 ,实现 上 都 要 为 安全 性 留 出 一 定 的 余 量 ,以 
保证 在 密码 分 析 技 术 进 步 后 ,不 至 受到 重大 威胁 。F2n 和 Fp 的 比较 就 集中 地 体现 了 这 一 
点 。 同 时 ,对 p 的 选择 也 体现 了 这 一 点 。 当 然 , 这 种 安全 性 上 的 保障 是 要 通过 降低 一 定 的 
效率 换取 的 。 

(3) 应 用 环境 。 应 用 环境 是 ECC 软 硬 件 实现 的 约束 条 件 。 硬 件 环 境 要 求 空间 小 、 指 令 
简单 .高 稳定 性 、 低 成 本 ; 软件 环境 要 求 兼容 性 好 、 可 移植 性 好 、 易 于 维护 升级 。 

因此 ,从 高 端 到 低 端 ,从 高 级 语言 到 汇编 \ 从 系统 到 门 电路 设计 ,每 个 应 用 环境 对 ECC 
实现 所 提供 的 支持 和 约束 都 不 相同 。 所 以 ,ECC 实现 效率 也 依 应 用 环境 而 异 。 

(4) 算法 优化 。 算 法 优化 始终 都 是 提高 效率 的 根本 所 在 。 对 ECC 实现 算法 的 优化 主 
要 从 这 几 个 方面 人 手 : 对 数学 公式 的 变形 和 组 合 优化 ; 在 软件 实现 中 ,根据 编译 系统 的 特 
点 ,CPU 指令 集 的 特点 优化 ; 在 硬件 实现 中 ,根据 硬件 资源 的 具体 特点 优化 。 


5. 应 用 前 景 


ECC 密码 体制 是 建立 在 椭圆 曲线 密码 理论 基础 上 的 先进 公 钥 密码 体制 。 该 系统 所 具 
有 的 安全 性 已 经 被 全 世界 所 承认 。 在 椭圆 曲线 密码 理论 的 基础 上 ,经 过 长 期 的 理论 研究 和 
科学 实践 ,已 经 成 功 地 将 该 理论 转换 为 实际 可 用 的 密码 算法 ,并 将 运用 于 安全 产品 之 中 。 
ECC 技术 拥有 广泛 的 应 用 前 景 , 如 可 应 用 于 安全 数据 库 、 智 能 卡 应 用 .VPN 和 安全 电子 商 
务 等 。 将 ECC 技术 应 用 于 安全 产品 不 仅 能 够 充分 发 挥 我 们 已 经 取得 的 优势 ,创造 更 多 的 效 
益 ,而 且 可 以 使 我 国 的 公 钥 密码 应 用 技术 进入 一 个 更 广阔 的 新 天 地 。 


@.4 认证 技术 
本 节 将 介绍 数字 签名 和 身份 认证 技术 。 
2.4.1 数字 签名 


1. 数字 签名 概述 


数字 签名 ,又 称 为 公 钥 数字 签名 、 电 子 签 章 ,是 只 有 信息 的 发 送 者 才能 产生 的 别人 无 法 
伪造 的 一 段 数字 串 , 这 段 数字 串 同时 也 是 对 信息 的 发 送 者 发 送信 息 真实 性 的 一 个 有 效 证 明 。 

数字 签名 是 一 种 类 似 写 在 纸 上 的 普通 的 物理 签名 ,但 是 使 用 了 公 钥 加 密 领 域 的 技术 实 
现 , 用 于 鉴别 数字 信息 的 方法 。 一 套数 字 签 名 通常 定义 两 种 互补 的 运算 ,一 个 用 于 签名 , 另 
一 个 用 于 验证 。 数 字 签 名 是 非 对 称 密 钥 加 密 技 术 与 数字 摘要 技术 的 应 用 。 数 字 签 名 了 的 文 
件 的 完整 性 是 很 容易 验证 的 (不 需要 骑 颖 章 , 骑 缝 签名 ,也 不 需要 笔迹 专家 ) ,而 且 数 字 签名 
具有 不 可 抵赖 性 (不 需要 笔迹 专家 来 验证 )。 

数字 签名 是 附加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 单元 所 作 的 密码 变换 。 这 种 数 
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据 或 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 的 来 源 和 数据 单元 的 完整 性 并 保护 数 
据 , 防 止 被 人 (例如 接收 者 进行 伪造 。 它 是 对 电子 形式 的 消息 进行 签名 的 一 种 方法 ,一 个 签 
名 消息 能 在 一 个 通信 网 络 中 传输 。 基 于 公 钥 密码 体制 和 私 钥 密码 体制 都 可 以 获得 数字 签 
名 ,主要 是 基于 公 钥 密码 体制 的 数字 签名 。 包 括 普 通 数字 签名 和 特殊 数字 签名 。 普 通 数字 
签名 算法 有 RSA、ElGamal、 Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr- 
Shamir 数字 签名 算法 、Des/DSA ,椭圆 曲线 数字 签名 算法 和 有 限 自动 机 数字 签名 算法 等 。 
特殊 数字 签名 有 讶 签名、 代理 签名 、 群 签名 ,不 可 否认 签名 .公平 讶 签名 门限 签名 .具有 消息 
恢复 功能 的 签名 等 , 它 与 具体 应 用 环境 密切 相关 。 显 然 , 数 字 签名 的 应 用 涉及 法 律 问题 , 美 
国联 邦 政府 基于 有 限 域 上 的 离散 对 数 问题 制定 了 自己 的 数字 签名 标准 。 

数字 签名 是 一 个 加 密 的 过 程 , 数 字 签名 验证 是 一 个 解密 的 过 程 。 其 目的 是 保证 信息 传 
输 的 完整 性 ,发 送 者 的 身份 认证 ,防止 交 易 中 的 抵赖 发 生 。 


2. 签名 过 程 


数字 签名 技术 是 将 摘要 信息 用 发 送 者 的 私 钥 加 密 , 与 原文 一 起 传送 给 接收 者 。 接 收 者 
只 有 用 发 送 者 的 公 钥 才 能 解密 被 加 密 的 摘要 信息 ,然后 用 HASH 函数 对 收 到 的 原文 产生 一 
个 摘要 信息 ,与 解密 的 摘要 信息 对 比 。 如 果 相同 , 则 说 明 收 到 的 信息 是 完整 的 ,在 传输 过 程 
中 没有 被 修改 ,否则 说 明 信 息 被 修改 过 ,因此 数字 签名 能 够 验证 信息 的 完整 性 。 
发 送 报 文 时 ,发送 方 用 一 个 哈 希 函数 从 报 文 文本 中 生成 报 文摘 要 ,然后 用 自己 的 私人 密 
钥 对 这 个 摘要 进行 加 密 , 这 个 加 密 后 的 摘要 将 作为 报 文 的 数字 签名 和 报 文 一 起 发 送 给 接收 
方 , 接 收 方 首先 用 与 发 送 方 一 样 的 喻 希 函 数 从 接收 到 的 原始 报 文中 计算 出 报 文摘 要 ,接着 再 
用 发 送 方 的 公用 密 钥 来 对 报 文 附加 的 数字 签名 进行 解密 ,如 果 这 两 个 摘要 相同 ,那么 接收 方 
就 能 确认 该 数字 签名 是 发 送 方 的 ,如 图 2-5 所 示 。 
nun 
加 密 


EE 
= 10111000010 = 10111000010 
X 


发 送 方 对 | 去 的 报 文 | 
报 文 签名 性 | 
a ! 0 

接收 方 ) 10111000010 | ! 
验证 签名 (pe Nr J 

摘要 用 发 送 

方 公 钥 

解密 
10111000010 2 10111000010 

x x 

图 2-5 数字 签名 


数字 签名 有 两 种 功效 : 一 是 能 确定 消息 确实 是 由 发 送 方 签名 并 发 出 来 的 ,因为 别人 假 
冒 不 了 发 送 方 的 签名 。 二 是 数字 签名 能 确定 消息 的 完整 性 。 因 为 数字 签名 的 特点 是 它 代表 
了 文件 的 特征 ,文件 如 果 发 生 改 变 ,数字 签名 的 值 也 将 发 生变 化 。 不 同 的 文件 将 得 到 不 同 的 
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数字 签名 。 一 次 数字 签名 涉及 一 个 哈 希 函数 ,发 送 者 的 公 钥 ,发 送 者 的 私 钥 。 

数字 签名 : 发 送 方 用 自己 的 密 钥 对 报 文 X 进行 Encrypt( 编 码 ) 运 算 ,生成 不 可 读 取 的 
密 文 Esx, 然 后 将 Esx 传送 给 接收 方 ,接收 方 为 了 核实 签名 ,用 发 送 方 的 公用 密 钥 进行 
Decrypt( 解 码 ) 运 算 , 还 原 报 文 得 到 X'。 比 较 X 和 X' 是 否 相 等 。 


3. 原理 特点 


每 个 人 都 有 一 对 “钥匙 ”( 数 字 身 份 ) ,其 中 一 个 只 有 她 /他 本 人 知道 ( 密 钥 ), 另 一 个 是 公 
开 的 ( 公 钥 )。 签 名 的 时 候 用 密 钥 ,验证 签名 的 时 候 用 公 钥 。 又 因为 任何 人 都 可 以 落款 声称 
她 /他 就 是 你 ,所 以 公 钥 必须 由 接收 者 信任 的 人 (身份 认证 机 构 ) 来 注册 。 注 册 后 身份 认证 机 
构 给 用 户 发 一 数字 证 书 。 对 文件 签名 后 ,把 此 数字 证 书 连同 文件 及 签名 一 起 发 给 接收 者 , 接 
收 者 向 身份 认证 机 构 求证 是 否 真 的 是 用 你 的 密 钥 签发 的 文件 。 

在 通信 中 使 用 数字 签名 一 般 基于 以 下 原因 : 

1) 鉴 权 

公 钥 加 密 系 统 允 许 任何 人 在 发 送信 息 时 使 用 公 钥 进行 加 密 , 数 字 签名 能 够 让 信息 接收 
者 确认 发 送 者 的 身份 。 当 然 , 接 收 者 不 可 能 百分之百 确信 发 送 者 的 真实 身份 ,而 只 能 在 密码 
系统 未 被 破译 的 情况 下 才 有 理由 确信 。 

鉴 权 的 重要 性 在 财务 数据 上 表现 得 尤为 突出 。 举 个 例子 ,假设 一 家 银行 将 指令 由 它 的 
分 行 传输 到 它 的 中 央 管 理 系统 ,指令 的 格式 是 (a,0) ,其 中 a 是 账户 的 账号 ,而 4 是 账户 的 现 
有 人 金额。 这 时 一 位 远程 客户 可 以 先 存 人 100 元 ,观察 传输 的 结果 ,然后 接二连三 地 发 送 格式 
为 (a,6) 的 指令 。 这 种 方法 被 称 作 重 放 攻 击 。 

2) 完整 性 

传输 数据 的 双方 都 总 希望 确认 消息 未 在 传输 的 过 程 中 被 修改 。 加 密使 得 第 三 方 想 要 读 
取 数 据 十 分 困难 ,然而 第 三 方 仍然 能 采取 可 行 的 方法 在 传输 的 过 程 中 修改 数据 。 一 个 通俗 
的 例子 就 是 同形 攻击 : 回想 一 下 ,还 是 上 面 的 那 家 银行 从 它 的 分 行 向 它 的 中 央 管 理 系 统 发 
送 格 式 为 (a,6b) 的 指令 ,其 中 a 是 账号 ,而 6 是 账户 中 的 金额 。 一 个 远程 客户 可 以 先 存 100 元 ， 
然后 拦截 传输 结果 ,再 传输 (Ca ,03) ,这 样 他 就 立刻 变 成 百 万 富翁 了 。 

3) 不 可 抵赖 

在 密 文 背景 下 ,抵赖 这 个 词 指 的 是 不 承认 与 消息 有 关 的 举动 ( 即 声称 消息 来 自 第 三 方 ) 。 
消息 的 接收 方 可 以 通过 数字 签名 来 防止 所 有 后 续 的 抵赖 行为 ,因为 接收 方 可 以 出 示 签 名 给 
别人 看 来 证 明 信 息 的 来 源 。 


2.4.2 身份 认证 技术 
1. 身份 认证 概述 


身份 认证 是 在 计算 机 网 络 中 确认 操作 者 身份 的 过 程 。 身 份 认证 可 分 为 用 户 与 主机 间 的 
认证 和 主机 与 主机 之 间 的 认证 。 用 户 与 主机 之 间 的 认证 可 以 基于 如 下 一 个 或 几 个 因素 : 用 
户 所 知道 的 东西 ,例如 口令 、 密 码 等 ; 用 户 拥 有 的 东西 ,例如 印章 、 智 能 卡 (如 信用 卡 等 ); 用 
户 所 具有 的 生物 特征 ,例如 指纹 声音、 视网膜 、 签 字 和 笔迹 等 。 

计算 机 网 络 世界 中 一 切 信息 包括 用 户 的 身份 信息 都 是 用 一 组 特定 的 数据 来 表示 的 , 计 
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算 机 只 能 识别 用 户 的 数字 身份 ,所 有 对 用 户 的 授权 也 是 针对 用 户 数字 身份 的 授权 。 

如 何 保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身份 合法 拥有 者 ,也 就 是 说 保证 
操作 者 的 物理 身份 与 数字 身份 相对 应 ,身份 认证 就 是 为 了 解决 这 个 问题 。 作 为 防护 网 络 资 
产 的 第 一 道 关口 ,身份 认证 有 着 举足轻重 的 作用 。 

在 真实 世界 ,对 用 户 的 身份 认证 基本 方法 可 以 分 为 三 种 : 

(1) 根据 你 所 知道 的 信息 来 证 明 你 的 身份 (what you know, 你 知道 什么 ); 

(2) 根据 你 所 拥有 的 东西 来 证 明 你 的 身份 (what you have, 你 有 什么 ); 

(3) 直接 根据 独一无二 的 身体 特征 来 证 明 你 的 身份 (who you are, 你 是 谁 ), 如 指纹 、 面 
貌 等 。 

在 网 络 世 界 中 的 手段 与 真实 世界 中 一 致 ,为 了 达到 更 高 的 身份 认证 安全 性 , 某 些 场景 会 
将 上 面 三 种 中 的 两 种 混合 使 用 , 即 所 谓 的 双 因 素 认证 。 


2. 常见 身份 认证 形式 


常见 的 身份 认证 形式 包括 静态 密码 .智能 卡 (IC 卡 )、 短 信和 密码 动态 口 令 牌 、USB 
KEY、OCL 数字 签名 .生物 识别 技术 Infogo 身份 认证 、 双 因素 身份 认证 和 门禁 应 用 等 。 

1) 静态 密码 

用 户 的 密码 是 由 用 户 自己 设 定 的 。 在 网 络 登录 时 输入 正确 的 密码 ,计算 机 就 认为 操作 
者 就 是 合法 用 户 。 实 际 上 ,由 于 许多 用 户 为 了 防止 忘记 密码 ,经 常 采用 诸如 生日 .电话 号 码 
等 容易 被 猜测 的 字符 串 作 为 密码 ,或 者 把 密码 抄 在 纸 上 放 在 一 个 自 认为 安全 的 地 方 , 这 样 很 容 
易 造 成 密码 泄露 。 如 果 密 码 是 静态 的 数据 ,在 验证 过 程 中 需要 在 计算 机 内 存 中 和 传输 过 程 中 
可 能 会 被 木马 程序 或 网 络 中 截获 。 因 此 ,静态 密码 机 制 无 论 是 使 用 还 是 部 署 都 非常 简单 ,但 从 
安全 性 上 讲 , 用 户 名 /密码 方式 是 一 种 不 安全 的 身份 认证 方式 。 它 利用 what you know 方法 。 

2) 智能 卡 (IC 卡 ) 

一 种 内 置 集成 电路 的 芯片 ,芯片 中 存 有 与 用 户 身份 相关 的 数据 。 智 能 卡 由 专门 的 厂商 
通过 专门 的 设备 生产 ,是 不 可 复制 的 硬件 。 智 能 卡 由 合法 用 户 随 身 携带 ,登录 时 必须 将 智能 
卡 插入 专用 的 读 卡 器 读 取 其 中 的 信息 ,以 验证 用 户 的 身份 。 智 能 卡 认 证 是 通过 智能 卡 硬 件 
不 可 复制 来 保证 用 户 身份 不 会 被 仿冒 。 然 而 .由 于 每 次 从 智能 卡 中 读 取 的 数据 是 静态 的 , 通 
过 内 存 扫描 或 网 络 监听 等 技术 还 是 很 容易 截取 到 用 户 的 身份 验证 信息 ,因此 还 是 存在 一 定 
的 安全 隐患 。 它 利用 what you have 方法 。 

3) 短信 密码 

短信 密码 以 手机 短信 形式 请 求 包含 6 位 随机 数 的 动态 密码 ,身份 认证 系统 以 短信 形式 
发 送 随机 的 6 位 密码 到 客户 的 手机 上 。 客 户 在 登录 或 者 交易 认证 时 输入 此 动态 密码 ,从 而 
确保 系统 身份 认证 的 安全 性 。 它 利用 what you have 方 法 。 具 有 以 下 优点 : 

(1) 安全 性 。 由 于 手机 与 客户 绑 定 比较 紧密 ,短信 密码 生成 与 使 用 场景 是 物理 隔绝 的 ， 
因此 密码 在 通路 上 被 截取 几率 降 至 最 低 。 

(2) 普及 性 。 只 要 会 接收 短信 和 即 可 使 用 ,大 大 降低 了 短信 密码 技术 的 使 用 门槛 ,学 习 成 
本 几乎 为 0, 所 以 在 市 场 接受 度 上 面 不 会 存在 阻力 。 

(3) 易 收费 。 由 于 移动 互联 网 用 户 天 然 养 成 了 付费 的 习惯 ,这 和 PC 时 代 的 互联 网 是 截 
然 不 同 的 理念 ,而 且 收 费 通道 非常 发 达 , 如 果 是 网 银 、 第 三 方 支付 .电子 商务 可 将 短信 密码 作 
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为 一 项 增值 业务 ,每 月 通过 SP 收费 不 会 有 阻力 ,因此 也 可 增加 收益 。 

(4) 易 维 护 。 由 于 短信 网 关 技 术 非 常 成 熟 , 大 大 降低 了 短信 密码 系统 上 马 的 复杂 度 和 
风险 。 短 信和 密码 业务 后 期 客服 成 本 低 , 稳 定 的 系统 在 提升 安全 的 同时 也 营造 了 良好 的 口碑 
效应 ,这 也 是 目前 银行 大 量 采纳 这 项 技术 很 重要 的 原因 。 

4) 动态 口令 牌 

目前 最 为 安全 的 身份 认证 方式 ,也 利用 what you have 方 法 ,也 是 一 种 动态 密码 。 

动态 口令 牌 是 客户 手持 用 来 生成 动态 密码 的 终端 ,主流 的 是 基于 时 间 同 步 方式 的 ,每 
60s 变换 一 次 动态 口令 ,口令 一 次 有 效 , 它 产生 6 位 动态 数字 进行 一 次 一 密 的 方式 认证 。 

但 是 由 于 基于 时 间 同 步 方式 的 动态 口令 牌 存 在 60s 的 时 间 窗 口 ,导致 该 密码 在 这 60s 
内 存在 风险 ,现在 已 有 基于 事件 同步 的 ,双向 认证 的 动态 口令 牌 。 基 于 事件 同步 的 动态 口令 
是 以 用 户 动作 触发 的 同步 原则 ,真正 做 到 了 一 次 一 密 ,并 且 由 于 是 双向 认证 , 即 服 务 器 验证 
客户 端 ,并 且 客 户 端 也 需要 验证 服务 器 ,从 而 达到 了 彻底 杜绝 木马 网 站 的 目的 。 

由 于 它 使 用 起 来 非常 便捷 ,85% 以 上 的 世界 500 强 企 业 运 用 它 保护 登录 安全 ,广泛 应 用 
在 VPN、 网 上 银行 ,电子 政务 和 电子 商务 等 领域 。 

5) USB Key 

基于 USB Key 的 身份 认证 方式 是 近 几 年 发 展 起 来 的 一 种 方便 、 安 全 的 身份 认证 技术 。 
它 采 用 软 硬 件 相 结合 一 次 一 密 的 强 双 因子 认证 模式 ,很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 
矛盾 。USB Key 是 一 种 USB 接口 的 硬件 设备 , 它 内 置 单 片 机 或 智能 卡 芯片 ,可 以 存储 用 户 
的 密 钥 或 数字 证 书 , 利 用 USB Key 内 置 的 密码 算法 实现 对 用 户 身份 的 认证 。 基 于 USB 
Key 身份 认证 系统 主要 有 两 种 应 用 模式 : 一 是 基于 冲击 /响应 的 认证 模式 ; 二 是 基于 PKI 
体系 的 认证 模式 ,目前 运用 在 电子 政务 、 网 上 银行 。 

6) OCL 

OCL 不 但 可 以 提供 身份 认证 ,同时 还 可 以 提供 交易 认证 功能 ,可 以 最 大 程度 地 保证 网 
络 交易 的 安全 。 它 是 智能 卡 数据 安全 技术 和 U 盘 相 结合 的 产物 ,为 数据 安全 解决 方案 提供 
了 一 个 强 有 力 的 平台 ,为 客户 提供 了 坚实 的 身份 识别 和 密码 管理 的 方案 ,为 如 网 上 银行 .期 
货 .电子 商务 和 金融 传输 提供 了 坚实 的 身份 识别 和 真实 交易 数据 的 保证 。 

7) 数字 签名 

数字 签名 又 称 为 电子 加 密 , 可 以 区 分 真实 数据 与 伪造 、 被 算 改 过 的 数据 。 这 对 于 网 络 数 
据 传输 ,特别 是 电子 商务 是 极其 重要 的 ,一 般 要 采用 一 种 称 为 摘要 的 技术 。 摘 要 技术 主要 是 
采用 HASH 函数 (HASH( 哈 希 ) 函 数 提供 了 这 样 一 种 计算 过 程 : 输入 一 个 长 度 不 固定 的 字 
符 串 ,返回 一 串 定 长 度 的 字符 串 ,又 称 为 HASH 值 ) 将 一 段 长 的 报 文通 过 函数 变换 转换 为 一 
段 定 长 的 报 文 , 即 摘要 。 身 份 识 别 是 指 用 户 向 系统 出 示 自 己 身份 证 明 的 过 程 ,主要 使 用 约定 
口令 ,智能卡 和 用 户 指纹 .视网膜 和 声音 等 生理 特征 。 数 字 证 明 机 制 提供 利用 公开 密 钥 进行 
验证 的 方法 。 

8) 生物 识别 技术 

运用 who you are 方 法 ,通过 可 测量 的 身体 或 行为 等 生物 特征 进行 身份 认证 的 一 种 技 
术 。 生 物 特 征 是 指 唯一 的 可 以 测量 或 可 自动 识别 和 验证 的 生理 特征 或 行为 方式 。 生 物 特 征 
分 为 身体 特征 和 行为 特征 两 类 。 身 体 特征 包括 声 纹 (d-ear) 指纹 、. 掌 型 .视网膜 .虹膜 人 体 
气味 、 脸 型 . 手 的 血管 和 DNA 等 ; 行为 特征 包括 签名 、 语 音 , 行 走 步 态 等 。 目 前 部 分 学 者 将 
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视网膜 识别 .虹膜 识别 和 指纹 识别 等 归 为 高 级 生物 识别 技术 ; 将 掌 型 识别 .脸型 识别 .语音 
识别 和 签名 识别 等 归 为 次 级 生物 识别 技术 ; 将 血管 纹理 识别 、 人 体 气 味 识别 .DNA 识别 等 
归 为 “深奥 的 ?生物 识别 技术 。 指 纹 识 别 技术 目前 应 用 广泛 的 领域 有 门禁 系统 、 微 型 支付 等 。 

9) Infogo 身份 认证 

网 络 安全 准 入 设备 制造 商 , 联 合 国内 专业 网 络 安全 准 入 实验 室 ,推出 安全 身份 认证 准 和 人 
控制 系统 。 

10) 双 因 素 身 份 认证 

所 谓 双 因素 就 是 将 两 种 认证 方法 结合 起 来 ,进一步 加 强 认证 的 安全 性 ,目前 使 用 最 为 广 
泛 的 双 因 素 有 动态 口令 牌 十 静态 密码 ; USB KEY 十 静态 密码 ; 二 层 静 态 密码 等 。iKEY 双 
因素 动态 密码 身份 认证 系统 (以 下 简称 iKEY 认证 系统 ) 是 由 上 海 众 人 网 络 安全 技术 有 限 公 
司 ( 以 下 简称 “众人 科技 ”) 自主 研发 ,基于 时 间 同 步 技术 的 双 因 素 认 证 系统 ,是 一 种 安全 便 
捷 、 稳 定 可 靠 的 身份 认证 系统 。 其 强大 的 用 户 认证 机 制 蔡 代 了 传统 的 基本 口令 安全 机 制 , 从 
而 帮助 消除 因 口 令 欺 诈 而 导致 的 损失 ,防止 恶意 入 侵 者 或 员工 对 资源 的 破坏 ,解决 了 因 口 令 
泄密 导致 的 所 有 和信 侵 问题 。iKEY 认证 服务 器 是 iKEY 认证 系统 的 核心 部 分 ,其 与 业务 系 
统 通过 局 域 网 相连 接 。 该 iKEY 认证 服务 器 控制 着 所 有 上 网 用 户 对 特定 网 络 的 访问 ,提供 
严格 的 身份 认证 ,上 网 用 户 根 据 业 务 系 统 的 授权 来 访问 系统 资源 。iKEY 认证 服务 软件 具 
有 自身 数据 安全 保护 功能 ,所 有 用 户 数据 经 加 密 后 存储 在 数据 库 中 ,其 中 iKEY 认证 服务 器 
与 管理 工作 站 的 数据 传输 以 加 密 传输 的 方式 进行 。 

11) 门禁 应 用 

身份 认证 技 是 时 门禁 系统 发 展 的 基础 ,密码 键盘 和 磁卡 门禁 与 锁具 钥匙 相 比 有 了 质 的 
飞跃 ,但 是 密码 易 被 破译 和 磁卡 存储 空间 小 、 易 磨损 和 复制 等 ,由 此 使 得 密码 键盘 和 磁卡 门 
禁 的 安全 性 和 可 靠 性 受到 了 限制 。 后 来 出 现 了 接触 式 卡 ,尽管 其 比 密码 和 磁卡 有 了 很 大 ( 存 
储 和 处 理 能 力 ) 进 步 , 但 因 其 自身 不 可 克服 的 缺点 (磨损 寿命 较 短 、 使 用 不 便 ) ,也 终 成 为 其 应 
用 发 展 的 障碍 。 同 时 , 非 接 触 式 射频 卡 具 有 无 机 械 磨 损 、 寿 命 长 ,安全 性 高 .使 用 简单 、 很 难 
被 复制 等 优点 ,因此 成 为 业界 备 受 关注 的 新 军 。 从 识别 技术 看 ,RFID 技术 的 运用 是 非 接触 
式 卡 的 潮流 ,更 快 的 响应 速度 和 更 高 的 频率 是 未 来 的 发 展 趋势 。 


&5 密 钥 管理 概述 


本 节 将 介绍 密 钥 管理 基本 概念 、 密 钥 分 配 、 公 钥 基础 设施 PKI 和 密 钥 的 托管 。 
2.5.1 密 钥 管理 概述 


密 钥 管理 包括 从 密 钥 的 产生 到 密 钥 的 销毁 的 各 个 方面 。 主 要 表现 为 管理 体制 管理 协 
议和 密 钥 的 产生 、 分 配 、 更 换 和 注入 等 。 对 于 军用 计算 机 网 络 系统 ,由 于 用 户 机 动 性 强 ,隶属 
关系 和 协同 作战 指挥 等 方式 复杂 ,因此 对 密 钥 管理 提出 了 更 高 的 要 求 。 


1. 流程 


1) 密 钥 生成 
密 钥 长 度 应 该 足够 长 。 一 般 来 说 , 密 钥 长 度 越 大 ,对 应 的 密 钥 空 间 就 越 大 ,攻击 者 使 用 
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穷 举 猜测 密码 的 难度 就 越 大 。 选 择 好 密 钥 , 避 免 弱 密 钥 。 由 自动 处 理 设备 生成 的 随机 的 比 
特 串 是 好 密 钥 ,选择 密 钥 时 应 该 避免 选择 一 个 弱 密 钥 。 对 公 钥 密码 体制 来 说 , 密 钥 生成 更 加 
困难 ,因为 密 钥 必 须 满足 某 些 数学 特征 。 密 钥 生 成 可 以 通过 在 线 或 离线 的 交互 协商 方式 实 
现 , 如 密码 协议 等 。 

2) 密 钥 分 发 

采用 对 称 加 密 算法 进行 保密 通信 ,需要 共享 同一 密 钥 。 通 常 是 系统 中 的 一 个 成 员 先 选 
择 一 个 秘密 密 钥 , 然 后 将 它 传送 到 另 一 个 成 员 或 别 的 成 员 。X9. 17 标准 描述 了 两 种 密 钥 : 
密 钥 加 密 密 钥 和 数据 密 钥 。 密 钥 加 密 密 钥 加 密 其 他 需要 分 发 的 密 钥 ;而 数据 密 钥 只 对 信息 
流 进行 加 密 。 密 钥 加 密 密 钥 一 般 通过 手工 分 发 。 为 增强 保密 性 ,也 可 以 将 密 钥 分 成 许多 不 
同 的 部 分 ,然后 用 不 同 的 信道 发 送出 去 。 

3) 验证 密 钥 

密 钥 附着 一 些 检 错 和 纠 错位 来 传输 , 当 密 钥 在 传输 中 发 生 错误 时 ,能 很 容易 地 被 检查 出 
来 ,并 且 如 果 需 要 , 密 钥 可 被 重 传 。 接 收 端 也 可 以 验证 接收 的 密 钥 是 否 正确 。 发 送 方 用 密 钥 
加 密 一 个 常量 ,然后 把 密 文 的 前 2 一 4 字 节 与 密 钥 一 起 发 送 。 在 接收 端 做 同样 的 工作 ,如 果 
接收 端 解密 后 的 常数 能 与 发 送 端的 常数 匹配 , 则 传输 无 错 。 

4) 更 新 密 钥 

当 密 钥 需 要 频繁 的 改变 时 ,频繁 进行 新 的 密 钥 分 发 的 确 是 困难 的 事 , 一 种 更 容易 的 解决 
办 法 是 从 旧 的 密 钥 中 产生 新 的 密 钥 ,有 时 称 为 密 钥 更 新 。 可 以 使 用 单 向 函数 更 新 密 钥 。 如 
果 双 方 共享 同一 密 钥 , 并 用 同一 个 单 向 函数 进行 操作 ,就 会 得 到 相同 的 结果 。 

5) 密 钥 存储 

密 钥 可 以 存储 在 大 脑 、 磁 条 卡 、 智 能 卡 中 。 也 可 以 把 密 钥 平 分 成 两 部 分 ,一 半 存 人 终端 ; 
另 一 半 存 人 ROM 密 钥 。 还 可 采用 类 似 于 密 钥 加 密 密 钥 的 方法 对 难以 记忆 的 密 钥 进行 加 密 

6) 备份 密 钥 

密 钥 的 备份 可 以 采用 密 钥 托 管 、. 秘 密 分 割 、 秘 密 共 享 等 方式 。 最 简单 的 方法 是 使 用 密 钥 
托管 中 心 。 密 钥 托管 要 求 所 有 用 户 将 自己 的 密 钥 交 给 密 钥 托 管 中 心 ,由 密 钥 托管 中 心 备 份 
保管 密 钥 (如 锁 在 某 个 地 方 的 保险 柜 里 或 用 主 密 钥 对 它们 进行 加 密 保存 ) ,一 旦 用 户 的 密 钥 
丢失 (如 用 户 遗 忘 了 密 钥 或 用 户 意外 死亡 ) ,按照 一 定 的 规章 制度 ,可 从 密 钥 托管 中 心 索取 该 
用 户 的 密 钥 。 另 一 个 备份 方案 是 用 智能 卡 作为 临时 密 钥 托管 。 如 Alice 把 密 钥 存 人 智能 
卡 , 当 Alice 不 在 时 就 把 它 交 给 Bob,Bob 可 以 利用 该 卡 进行 Alice 的 工作 , 当 Alice 回来 后 ， 
Bob 交还 该 卡 , 由 于 密 钥 存放 在 卡 中 ,因此 Bob 不 知道 密 钥 是 什么 。 秘 密 分 割 把 秘密 分 制 
成 许多 碎片 ,每 一 片 本 身 并 不 代表 什么 ,但 把 这 些 碎片 放 到 一 块 , 秘 密 就 会 重 现 出 来 。 

一 个 更 好 的 方法 是 采用 一 种 秘密 共享 协议 。 将 密 钥 K 分 成 n 块 ,每 部 分 叫做 它 的 “ 影 
子 ”, 知 道 任意 mm 个 或 更 多 的 块 就 能 够 计算 出 密 钥 ,知道 任意 mm 一 1 个 或 更 少 的 块 都 不 能 
够 计算 出 密 钥 ,这 叫做 (m,n) 门 限 ( 阅 值 ) 方 案 。 目 前 ,人 们 基于 拉 格 朗 日 内 插 多 项 式 法 、 
射影 几何 ,线性 代数 、 孙 子 定理 等 提出 了 许多 秘密 共享 方案 。 拉 格 朗 日 插值 多 项 式 方案 是 一 
种 易于 理解 的 秘密 共享 (m,n) 门 限 方案 。 秘密 共享 解决 了 两 个 问题 : 一 是 若 密 钥 偶然 或 有 
意 地 被 暴露 ,整个 系统 就 易 受 攻击 ; 二 是 车 密 钥 丢失 或 损坏 , 系统 中 的 所 有 信息 就 不 能 
期 了 了。 
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7) 密 钥 有 效 期 

加 密 密 钥 不 能 无 限期 使 用 ,有 以 下 几 个 原因 : 密 钥 使 用 时 间 越 长 , 它 泄露 的 机 会 就 越 
大 ; 如 果 密 钥 已 泄露 ,那么 密 钥 使 用 越久 ,损失 就 越 大 ; 密 钥 使 用 越久 ,人 们 花费 精力 破译 
它 的 诱惑 力 就 越 大 一 一 甚至 采用 穷 举 攻击 法 ; 对 用 同一 密 钥 加 密 的 多 个 密 文 进行 密码 分 析 
一 般 比 较 容 易 。 

不 同 密 钥 应 有 不 同 有 效 期 。 数 据 密 钥 的 有 效 期 主要 依赖 数据 的 价值 和 给 定时 间 里 加 密 
数据 的 数量 。 价 值 与 数据 传送 率 越 大 ,所 用 的 密 钥 更 换 越 频繁 。 密 钥 加 密 密 钥 无 须 频繁 更 
换 , 因 为 它们 只 是 偶尔 地 用 作 密 钥 交 换 。 在 某 些 应 用 中 , 密 钥 加 密 密 钥 仅 一 月 或 一 年 更 换 
一 次 。 

用 来 加 密 保存 数据 文件 的 加 密 密 钥 不 能 经 常 地 变换 。 通 常 是 每 个 文件 用 唯一 的 密 钥 加 
密 , 然 后 再 用 密 钥 加 密 密 钥 把 所 有 密 钥 加 密 , 密 钥 加 密 密 钥 要 么 被 记忆 下 来 ,要 么 保存 在 一 
个 安全 地 点 。 当 然 ,丢失 该 密 钥 意味 着 丢失 所 有 的 文件 加 密 密 钥 。 

公开 密 钥 密码 应 用 中 的 私 钥 的 有 效 期 是 根据 应 用 的 不 同 而 变化 的 。 用 作 数 字 签名 和 身 
份 识别 的 私 钥 必须 持续 数 年 (甚至 终身 ), 用 作 抛 搓 硬 币 协议 的 私 钥 在 协议 完成 之 后 就 应 该 
立即 销毁 。 即 使 期 望 密 钥 的 安全 性 持续 终身 ,两 年 更 换 一 次 密 钥 也 是 要 考虑 的 。 旧 密 钥 仍 
需 保 密 , 以 防 用 户 需要 验证 从 前 的 签名 。 但 是 新 密 钥 将 用 作 新 文件 签名 ,以 减少 密码 分 析 者 
所 能 攻击 的 签名 文件 数目 。 

8) 销毁 密 钥 

如 果 密 钥 必 须 蔡 换 , 旧 钥 就 必须 销毁 , 密 钥 必须 物理 地 销毁 。 

9) 密 钥 管理 

公开 密 钥 密码 使 得 密 钥 较 易 管理 。 无 论 网 络 上 有 多 少 人 ,每 个 人 只 有 一 个 公开 密 钥 。 

使 用 一 个 公 钥 / 私 钥 密 钥 对 是 不 够 的 。 任 何 好 的 公 钥 密码 的 实现 需要 把 加 密 密 钥 和 数 
字 签 名 密 钥 分 开 。 但 单独 一 对 加 密 和 签名 密 钥 还 是 不 够 的 。 像 身份 证 一 样 , 私 钥 证 明了 一 
种 关系 ,而 人 不 止 有 一 种 关系 。 如 Alice 分 别 可 以 以 私人 名 义 、 公 司 的 副 总 裁 等 名 义 给 某 个 
文件 签名 。 


2. 密 钥 管理 技术 


1) 密 钥 管理 技术 的 分 类 

(1) 对 称 密 钥 管理 。 对 称 加 密 是 基于 共同 保守 秘密 来 实现 的 。 采 用 对 称 加 密 技 术 的 贸 
易 双 方 必须 要 保证 采用 的 是 相同 的 密 钥 ,要 保证 彼此 密 钥 的 交换 是 安全 可 靠 的 ,同时 还 要 设 
定 防止 密 钥 泄密 和 更 改 密 钥 的 程序 。 这 样 ,对 称 密 钥 的 管理 和 分 发 工作 将 变 成 一 件 潜在 危 
险 的 和 烦琐 的 过 程 。 通 过 公开 密 钥 加 密 技术 实现 对 称 密 钥 的 管理 使 相应 的 管理 变 得 简单 和 
更 加 安全 ,同时 还 解决 了 纯 对 称 密 钥 模式 中 存在 的 可 靠 性 问题 和 鉴别 问题 。 贸 易 方 可 以 为 
每 次 交换 的 信息 (如 每 次 的 EDI 交换 ) 生 成 唯一 一 把 对 称 密 钥 并 用 公开 密 钥 对 该 密 钥 进 行 
加 密 , 然 后 再 将 加 密 后 的 密 钥 和 用 该 密 钥 加 密 的 信息 (如 EDI 交换 ) 一 起 发 送 给 相应 的 贸易 
方 。 由 于 对 每 次 信息 交换 都 对 应 生成 了 唯一 一 把 密 钥 ,因此 各 贸易 方 就 不 再 需要 对 密 钥 进 
行 维护 和 担心 密 钥 的 泄露 或 过 期 。 这 种 方式 的 另 一 个 优点 是 即使 泄露 了 一 把 密 钥 也 只 将 影 
响 一 笔 交 易 ,而 不 会 影响 到 贸易 双方 之 间 所 有 的 交易 关系 。 这 种 方式 还 提供 了 贸易 伙伴 间 
发 布 对 称 密 钥 的 一 种 安全 途径 。 
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(2) 公开 密 钥 管理 /数字 证 书 。 贸 易 伙 伴 间 可 以 使 用 数字 证 书 ( 公 开 密 钥 证 书 ) 来 交换 
公开 密 钥 。 国 际 电信 联盟 (ITU) 制 定 的 标准 X. 509 ,对 数字 证 书 进 行 了 定义 该 标准 等 同 于 
国际 标准 化 组 织 (ISO) 与 国际 电工 委员 会 (IEC) 联 合 发 布 的 ISO/IEC 9594 一 8: 195 标准 。 
数字 证 书 通常 包含 有 唯一 标识 证 书 所 有 者 ( 即 贸 易 方 ) 的 名 称 、 唯 一 标识 证 书 发 布 者 的 名 称 、 
证 书 所 有 者 的 公开 密 钥 、 证 书 发 布 者 的 数字 签名 、 证 书 的 有 效 期 及 证 书 的 序列 号 等 。 证 书 发 
布 者 一 般 称 为 证 书 管理 机 构 (CA), 它 是 贸易 各 方 都 信赖 的 机 构 。 数 字 证 书 能 够 起 到 标识 贸 
易 方 的 作用 ,是 目前 电子 商务 广泛 采用 的 技术 之 一 。 

(3) 密 钥 管理 相关 的 标准 规范 。 目 前 国际 有 关 的 标准 化 机 构 都 着 手 制定 关于 密 钥 管理 
的 技术 标准 规范 。ISO 与 IEC 下 属 的 信息 技术 委员 会 (JTC1) 已 起 草 了 关于 密 钥 管 理 的 国 
际 标准 规范 。 该 规范 主要 由 三 部 分 组 成 : 一 是 密 钥 管理 框架 ; 二 是 采用 对 称 技术 的 机 制 ; 
三 是 采用 非 对 称 技术 的 机 制 。 该 规范 现 已 进入 到 国际 标准 草案 表决 阶段 ,并 将 很 快 成 为 正 
式 的 国际 标准 。 

2) 数字 签名 

数字 签名 是 公开 密 钥 加 密 技 术 的 另 一 类 应 用 。 它 的 主要 方式 是 : 报 文 的 发 送 方 从 报 文 
文本 中 生成 一 个 128 位 的 散 列 值 (或 报 文摘 要 )。 发 送 方 用 自己 的 专用 密 钥 对 这 个 散 列 值 进 
行 加 密 来 形成 发 送 方 的 数字 签名 。 然 后 这 个 数字 签名 将 作为 报 文 的 附件 和 报 文 一 起 发 送 给 
报 文 的 接收 方 。 报 文 的 接收 方 首先 从 接收 到 的 原始 报 文中 计算 出 128 位 的 散 列 值 ( 或 报 文 
摘要 ) ,接着 再 用 发 送 方 的 公开 密 钥 来 对 报 文 附加 的 数字 签名 进行 解密 。 如 果 两 个 散 列 值 相 
同 , 那 么 接收 方 就 能 确认 该 数字 签名 是 发 送 方 的 。 通 过 数字 签名 能 够 实现 对 原始 报 文 的 鉴 
别 和 不 可 抵赖 性 。 

ISO/IEC JTCI1 已 在 起 草 有 关 的 国际 标准 规范 。 该 标准 的 初步 题目 是 “信息 技术 安全 
技术 带 附件 的 数字 签名 方案 ”, 它 由 概述 和 基于 身份 的 机 制 两 部 分 构成 。 


2.5.2 ” 密 钥 分 配 


在 采用 密码 技术 保护 的 现代 通信 系统 中 ,密码 算法 通常 是 公开 的 ,因此 其 安全 性 就 取决 
于 对 密 钥 的 保护 。 密 钥 生成 算法 的 强度 、 密 钥 的 长 度 、 密 钥 的 保密 和 安全 管理 是 保证 系统 安 
全 的 重要 因素 。 密 钥 管理 的 任务 就 是 管理 密 钥 的 产生 到 销毁 全 过 程 ,包括 系统 初始 化 , 密 钥 
的 产生 存储、 备份 ,恢复 、 装 入 ,分配 、 保 护 、 更 新 、 控 制 、 丢 失 \ 吊 销 和 销毁 等 。 

从 网 络 应 用 来 看 , 密 钥 一 般 分 为 基本 密 钥 、 会 话 密 钥 、 密 钥 加 密 和 主机 密 钥 等 几 类 。 基 
本 密 钥 又 称 为 初始 密 钥 ,是 由 用 户 选 定 或 由 系统 分 配 ,可 在 较 长 时 间 内 由 一 对 用 户 专门 使 用 
的 秘密 密 钥 ,也 称 为 用 户 密 钥 。 基 本 密 钥 既 要 安全 ,又 要 便于 更 换 。 会 话 密 钥 即 两 个 通信 终 
端 用 户 在 一 次 通话 或 交换 数据 时 所 用 的 密 钥 。 密 钥 加 密 密 钥 是 对 传送 的 会 话 或 文件 密 钥 进 
行 加 密 时 采用 的 密 钥 ,也 称 为 次 主 密 钥 、 辅 助 密 钥 或 密 钥 传送 密 钥 。 主 机 密 钥 是 对 密 钥 加 密 
密 钥 进行 加 密 的 密 钥 , 存 于 主机 处 理 器 中 。 目 前 ,长 度 在 128 位 以 上 的 密 钥 才 是 安全 的 。 


1. 密 钥 的 产生 


密 钥 的 产生 必须 考虑 具体 密码 体制 的 公认 的 限制 。 在 网 络 系统 中 加 密 需 要 大 量 的 密 
钥 , 以 分 配给 各 主机 、 节 点 和 用 户 。 可 以 用 手工 的 方法 ,也 可 以 用 密 钥 产 生 器 产生 密 钥 。 基 
本 密 钥 是 控制 和 产生 其 他 加 密 密 钥 的 密 钥 ,而 且 长 度 对 其 安全 性 非常 关键 ,需要 保证 其 完全 
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随机 性 \ 不 可 重复 性 和 不 可 预测 性 。 基 本 密 钥 量 小 ,可 以 用 掷 硬币 等 方法 产生 。 密 钥 加 密 密 
钥 可 以 用 伪 随 机 数 产生 器 、 安 全 算法 等 产生 。 会 话 密 钥 ,数据 加 密 密 钥 可 在 密 钥 加 密 密 钥 控 
制 下 通过 安全 算法 产生 。 


2. 密码 体制 的 密 钥 分 配 


对 称 密 码 的 密 钥 分 配 的 方法 归纳 起 来 有 两 种 : 利用 公 钥 密码 体制 实现 和 利用 安全 信道 
实现 。 在 局 部 网 中 ,每 对 用 户 可 以 共享 一 个 密 钥 , 即 无 中 心 密 钥 分 配方 式 。 

两 个 用 户 A 和 B 要 建立 会 话 密 钥 , 需 经 过 以 下 三 个 步 又 : 

(1) A 向 B 发 出 建立 会 话 密 钥 的 请 求 和 一 个 一 次 性 随机 数 N1。 

(2) B 用 与 A 共享 的 主 密 钥 对 应 答 的 消息 加 密 , 并 发 送 给 A, 应 答 的 消息 中 包括 BB 选取 
的 会 话 密 钥 、B 的 身份 EN1 和 另 一 个 一 次 性 随机 数 N2。 

(3) A 用 新 建立 的 会 话 密 钥 加 密 fN2 并 发 送 给 B。 

在 大 型 网 络 中 ,不 可 能 每 对 用 户 共享 一 个 密 钥 ,因此 采用 中 心 化 密 钥 分 配方 式 ,由 一 个 
可 信赖 的 联机 服务 器 作为 密 钥 分 配 中 心 (KDC) 来 实现 。 

用 户 A 和 B 要 建立 共享 密 钥 ,可 以 采用 如 下 5 个 步 又 : 

(1) A 向 KDC 发 出 会 话 密 钥 请 求 。 该 请 求 由 两 个 数据 项 组 成 : 一 个 是 A 与 B 的 身份 ， 
另 一 个 是 一 次 性 随机 数 N1。 

(2) KDC 为 A 的 请 求 发 出 应 答 。 应 答 是 用 A 与 KDC 的 共享 主 密 钥 加 密 的 ,因而 上 只 有 
A 能 解密 这 一 消息 ,并 确信 消息 来 自 KDC。 消 息 中 包含 A 希望 得 到 的 一 次 性 会 话 密 钥 K 
以 及 A 的 请 求 ,还 包括 一 次 性 随机 数 N1。 因 此 A 能 验证 自己 的 请 求 有 没有 被 自 改 ,并 能 通 
过 一 次 性 随机 数 N1 得 知 收 到 的 应 答 是 不 是 过 去 应 答 的 重 放 。 消 息 中 还 包含 A 要 转发 给 也 的 
部 分 ,这 部 分 包括 一 次 性 会 话 密 钥 Ks 和 A 的 身份 ,它们 是 用 B 与 KDC 的 共享 主 密 钥 加 密 的 。 

(3) A 存储 会 话 密 钥 , 并 向 B 转发 从 KDC 的 应 答 中 得 到 的 应 该 转发 给 B 的 部 分 。B 收 
到 后 ,可 得 到 会 话 密 钥 Ks, 从 A 的 身份 得 知 会 话 的 另 一 方 为 A。 

(4) B 用 会 话 密 钥 Ks 加 密 另 一 个 一 次 性 随机 数 N2, 并 将 加 密 结果 发 送 给 A。 

(5) A 用 会 话 密 钥 Ks 加 密 fN2, 并 将 加 密 结果 发 送 给 B。 应 当 注 意 前 三 步 已 完成 密 钥 
的 分 配 ,后 两 步 结 合 第 二 和 第 三 步 完 成 认证 功能 。 


3. 公 钥 密码 体制 的 密 钥 分 配 


公 钥 密码 体制 的 一 个 重要 用 途 就 是 分 配对 称 密码 体制 使 用 的 密 钥 。 由 于 公 钥 加 密 速度 
太 慢 ,常常 只 用 于 加 密 分 配对 称 密码 体制 的 密 钥 , 而 不 用 于 保密 通信 。 常 用 的 公 钥 分 配方 法 : 

1) 公开 发 布 

用 户 将 自己 的 公 钥 发 给 所 有 其 他 用 户 或 向 某 一 团体 广播 。 这 种 方法 简单 ,但 有 一 个 非 
常 大 的 缺陷 ,就 是 别人 能 容易 地 伪造 这 种 公开 的 发 布 。 

2) 公 钥 动态 目录 表 

建立 一 个 公用 的 公 钥 动态 目录 表 , 表 的 建立 和 维护 以 及 公 钥 的 分 布 由 某 个 公 钥 管理 机 
构 承 担 , 每 个 用 户 都 知道 管理 机 构 的 公 钥 。 公 钥 的 分 配 步骤 如 下 : 

(1) 用 户 A 向 公 钥 管理 机 构 发 送 一 个 带 时 戳 的 请 求 , 请 求 得 到 用 户 B 当前 的 公 钥 。 

(2) 管理 机 构 为 A 的 请 求 发 出 应 答 ,应 答 中 包含 B 的 公 钥 以 及 A 向 公 钥 管理 机 构 发 送 
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的 带 时 截 的 请 求 。 

(3) A 用 B 的 公 钥 加 密 一 个 消息 并 发 送 给 B, 这 个 消息 由 A 的 身份 和 一 个 一 次 性 随机 
数 N1 组 成 。 

(4) B 用 与 A 同样 的 方法 从 公 钥 管理 机 构 得 到 A 的 公 钥 。 

(5) B 用 A 的 公 钥 加 密 一 个 消息 并 发 送 给 A, 这 个 消息 由 N1 和 N2 组 成 。 这 里 的 N2 
是 B 产 生 的 一 个 一 次 性 随机 数 。 

(6) A 用 B 的 公 钥 加 密 N2, 并 将 加 密 结果 发 送 给 B。 

3) 公 钥 证 书 

公 钥 证 书 由 证 书 管理 机 构 CA 为 用 户 建立 ,其 中 的 数据 项 有 该 用 户 的 公 钥 ,用户 的 身份 
和 时 蕉 等 。 所 有 的 数据 经 CA 签字 后 就 形成 证 书 , 证 书 中 可 能 还 包括 一 些 辅助 信息 ,如 公 
使 用 期 限 、 公 钥 序 列 号 或 识别 号 、 采 用 的 公 钥 算法 、 使 用 者 的 住址 或 网 址 等 。 


2.5.3 公 钥 基础 设施 


1. PKI 概述 


PKI(Public Key Infrastructure, 公 钥 基 础 设施 ) 是 一 种 遵循 既定 标准 的 密 钥 管理 平台 ， 
它 能 够 为 所 有 网 络 应 用 提供 加 密 和 数字 签名 等 密码 服务 及 所 必需 的 密 钥 和 证 书 管理 体系 ， 
简单 来 说 ,PKI 就 是 利用 公 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 设施 。PKI 技术 是 信 
息 安 全 技术 的 核心 ,也 是 电子 商务 的 关键 和 基础 技术 。 

PKI 的 基础 技术 包括 加 密 数字 签名 .数据 完整 性 机 制 .数字 信封 和 双重 数字 签名 等 。 

PKI 是 指 用 公 钥 概念 和 技术 来 实施 和 提供 安全 服务 的 具有 普 适 性 的 安全 基础 设施 。 这 
个 定义 涵盖 的 内 容 比较 宽 , 是 一 个 被 很 多 人 接受 的 概念 。 这 个 定义 说 明 , 任 何以 公 钥 技术 为 
基础 的 安全 基础 设施 都 是 PRI。 当然 ,没有 好 的 非 对 称 算法 和 好 的 密 钥 管理 就 不 可 能 提供 
完善 的 安全 服务 ,也 就 不 能 叫做 PKI。 也 就 是 说 ,该 定义 中 已 经 隐 含 了 必须 具有 的 密 钥 管理 
功能 。 

X. 509 标准 中 ,为 了 区 别 于 权限 管理 基础 设施 (Privilege Management Infrastructure， 
PMD) ,将 PKI 定义 为 支持 公开 密 钥 管理 并 能 支持 认证 ,加 密 、 完 整 性 和 可 追究 性 服务 的 基 
础 设施 。 这 个 概念 与 第 一 个 概念 相 比 ,不 仅仅 叙述 PKI 能 提供 的 安全 服务 ,更 强调 PKI 必 
须 支 持 公 开 密 钥 的 管理 。 也 就 是 说 ,仅仅 使 用 公 钥 技术 还 不 能 叫做 PKI, 还 应 该 提供 公开 密 
钥 的 管理 。 因 为 PMI 仅仅 使 用 公 钥 技术 但 并 不 管理 公开 密 钥 ,所 以 PMI 就 可 以 单独 进行 
描述 ,而 不 至 于 跟 公 和 钥 证 书 等 概念 混淆 。X. 509 中 从 概念 上 分 清 PKI 和 PMI 有 利于 标准 的 
叙述 。 然 而 ,由 于 PMI 使 用 了 公 钥 技术 ,PMI 的 使 用 和 建立 必须 先 有 PKI 的 密 钥 管理 支 
持 。 也 就 是 说 ,PMI 不 得 不 把 自己 与 PKI 绑 定 在 一 起 。 当 把 两 者 合 二 为 一 时 ,PMI 十 PKI 
就 完全 落 在 X. 509 标准 定义 的 PKI 范畴 内 。 根 据 X. 509 的 定义 ,PMI 十 PKI 仍旧 可 以 叫做 
PKI, 而 PMI 完全 可 以 看 成 PKI 的 一 个 部 分 。 

美国 国家 审计 总 署 在 2001 年 和 2003 年 的 报告 中 都 把 PKI 定义 为 由 硬件 、 软 件 、 策 略 
和 人 构成 的 系统 , 当 完 善 实施 后 ,能 够 为 敏感 通信 和 交易 提供 一 套 信 息 安全 保障 ,包括 保密 
性 、 完 整 性 真实 性 和 不 可 和 否认。 尽管 这 个 定义 没有 提 到 公开 密 钥 技 术 , 但 到 目前 为 止 ,满足 
上 述 条 件 的 也 只 有 公 钥 技术 构成 的 基础 设施 ,也 就 是 说 ,只 有 第 一 个 定义 符合 这 个 PKI 的 
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定义 。 所 以 这 个 定义 与 第 一 个 定义 并 不 矛盾 。 
PKI 是 用 公 钥 概念 和 技术 实施 的 ,支持 公开 密 钥 的 管理 并 提供 真实 性 ,保密 性 、 完 整 性 
以 及 可 追究 性 安全 服务 的 具有 普 适 性 的 安全 基础 设施 。 


2. 基本 组 成 


完整 的 PKI 系统 必须 具有 权威 认证 机 构 (CA) ,数字 证 书库 、 密 钥 备 份 及 恢复 系统 、 证 
书 作废 系统 .应 用 接口 (API) 等 基本 构成 部 分 ,构建 PKI 也 将 围绕 着 这 5 大 系统 来 着 手 构 
建 。PKI 技 术 是 信息 安全 技术 的 核心 ,也 是 电子 商务 的 关键 和 基础 技术 。PKI 的 基础 技术 
包括 加 密 、 数 字 签 名 ,数据 完整 性 机 制 、 数 字 信封 和 双重 数字 签名 等 。 

(1) 认证 机 构 (CA)。 即 数字 证 书 的 申请 及 签发 机 关 ,CA 必须 具备 权威 性 的 特征 。 

(2) 数字 证 书库 。 用 于 存储 已 签发 的 数字 证 书 及 公 钥 ,用 户 可 由 此 获得 所 需 的 其 他 用 
户 的 证 书 及 公 钥 。 

(3) 密 钥 备 份 及 恢复 系统 。 如 果 用 户 丢 失 了 用 于 解密 数据 的 密 钥 , 则 数据 将 无 法 被 解 
密 , 这 将 造成 合法 数据 丢失 。 为 避免 这 种 情况 ,PKI 提供 备份 与 恢复 密 钥 的 机 制 。 但 需 注 
意 , 密 钥 的 备份 与 恢复 必须 由 可 信 的 机 构 来 完成 ,并 且 , 密 钥 备 份 与 恢复 只 能 针对 解密 密 钥 ， 
签名 私 钥 为 确保 其 唯一 性 而 不 能 够 作 备 份 。 

(4) 证 书 作 废 系统 。 证 书 作 废 处 理 系统 是 PKI 的 一 个 必 备 的 组 件 。 与 日 常生 活 中 的 各 
种 身份 证 件 一 样 , 证 书 有 效 期 内 也 可 能 需要 作废 ,原因 可 能 是 密 钥 介质 丢失 或 用 户 身份 变更 
等 。 为 实现 这 一 点 ,PKI 必须 提供 作废 证 书 的 一 系列 机 制 。 

(5) 应 用 接口 (API) 。PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签 名 等 安全 服 
务 , 因 此 一 个 完整 的 PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 以 安全 、 
一 致 ,可 信 的 方式 与 PKI 交互 ,确保 安全 网 络 环境 的 完整 性 和 易 用 性 。 

通常 来 说 ,CA 是 证 书 的 签发 机 构 , 它 是 PKI 的 核心 。 众 所 周知 ,构建 密码 服务 系统 的 
核心 内 容 是 如 何 实现 密 钥 管理 。 公 钥 体 制 涉及 一 对 密 钥 ( 即 私 钥 和 公 钥 ), 私 钥 只 由 用 户 独 
立 人 掌握, 无 须 在 网 上 传输 ,而 公 钥 则 是 公开 的 ,需要 在 网 上 传送 , 故 公 钥 体制 的 密 钥 管理 主要 
是 针对 公 钥 的 管理 问题 ,目前 较 好 的 解决 方案 是 数字 证 书 机 制 。 


3. 目标 


PKI 就 是 一 种 基础 设施 ,其 目标 就 是 要 充分 利用 公 钥 密码 学 的 理论 基础 ,建立 起 一 种 普 
遍 适 用 的 基础 设施 ,为 各 种 网 络 应 用 提供 全 面 的 安全 服务 。 公 开 密 钥 密 码 为 我 们 提供 了 一 
种 非 对 称 性 质 , 使 得 安全 的 数字 签名 和 开放 的 签名 验证 成 为 可 能 。 而 这 种 优秀 技术 的 使 用 
却 面临 着 理解 困难 、 实 施 难 度 大 等 问题 。 正 如 让 电视 机 的 开发 者 理解 和 维护 发 电厂 有 一 定 
的 难度 一 样 , 要 让 每 一 个 应 用 程序 的 开发 者 完全 正确 地 理解 和 实施 基于 公开 密 钥 密码 的 安 
全 有 一 定 的 难度 。PKI 和 希望 通过 一 种 专业 的 基础 设施 的 开发 ,让 网 络 应 用 系统 的 开发 人 员 
从 烦琐 的 密码 技术 中 解脱 出 来 ,而 同时 享有 完善 的 安全 服务 。 

将 PKI 在 网 络 信息 空间 的 地 位 与 电力 基础 设施 在 工业 生活 中 的 地 位 进行 类 比 可 以 更 
好 地 理解 PKI。 电 力 基础 设施 通过 伸 到 用 户 的 标准 插座 为 用 户 提供 能 源 , 而 PKI 通过 延伸 
到 用 户 本 地 的 接口 为 各 种 应 用 提供 安全 的 服务 。 有 了 PKI, 安 全 应 用 程序 的 开发 者 可 以 不 
用 再 关心 那些 复杂 的 数学 运算 和 模型 ,而 直接 按照 标准 使 用 一 种 插座 (接口 )。 正 如 电 冰 箱 
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的 开发 者 不 用 关心 发 电机 的 原理 和 构造 一 样 ,只 要 开发 出 符合 电力 基础 设施 接口 标准 的 应 
用 设备 ,就 可 以 享受 基础 设施 提供 的 能 源 。 

PKI 与 应 用 的 分 离 也 是 PKI 作为 基础 设施 的 重要 标志 。 正 如 电力 基础 设施 与 电器 的 
分 离 一 样 。 网 络 应 用 与 安全 基础 实现 了 分 离 , 有 利于 网 络 应 用 更 快 地 发 展 , 也 有 利于 安全 基 
础 设施 更 好 地 建设 。 正 是 由 于 PKI 与 其 他 应 用 能 够 很 好 地 分 离 , 才 使 得 我 们 能 够 将 之 称 为 
基础 设施 ,PKI 也 才能 从 千差万别 的 安全 应 用 中 独立 出 来 ,才能 有 效 地 、 独 立地 发 展 壮 大 。 
PKI 与 网 络 应 用 的 分 离 实际 上 就 是 网 络 社会 的 一 次 * 社 会 分 工 ”, 这 种 分 工 可 能 会 成 为 网 络 
应 用 发 展 史上 的 重要 里 程 碑 。 


4. 内 容 


PKI 在 公开 密 钥 密码 的 基础 上 ,主要 解决 密 钥 属 于 谁 , 即 密 钥 认证 的 问题 。 在 网 络 上 证 
明 公 钥 是 谁 的 ,就 如 同 现实 中 证 明 谁 是 什么 名 字 一 样 具 有 重要 的 意义 。 通 过 数字 证 书 ,PKI 
很 好 地 证 明了 公 钥 是 谁 的 。PKI 的 核心 技术 就 围绕 着 数字 证 书 的 申请 、 颁 发 .使 用 与 撤销 等 
整个 生命 周期 展开 。 其 中 ,证 书 撤销 是 PKI 中 最 容易 被 忽视 ,但 却 是 很 关键 的 技术 之 一 ,也 
是 基础 设施 必须 提供 的 一 项 服务 。 

PKI 技术 的 研究 对 象 包括 数字 证 书 、 颁 发 数字 证 书 的 证 书 认证 中 心 . 持 有 证 书 的 证 书 持 
有 者 和 使 用 证 书 服务 的 证 书 用 户 , 以 及 为 了 更 好 地 成 为 基础 设施 而 必须 具备 的 证 书 注册 机 
构 ,证书 存储 和 查询 服务 器 .证书 状态 查询 服务 器 .证书 验证 服务 器 等 。 

PKI 作为 基础 设施 ,两 个 或 多 个 PKI 管理 域 的 互 连 就 非常 重要 。PKI 域 间 如 何 互 联 ， 
如 何 更 好 地 互联 就 是 建设 一 个 无 颖 的 大 范围 的 网 络 应 用 的 关键 。 在 PKI 互 连 过 程 中 ,PKI 
关键 设备 之 间 ,PKI 末端 用 户 之 间 , 网 络 应 用 与 PKI 系统 之 间 的 互 操作 与 接口 技术 就 是 
PKI 发 展 的 重要 保证 ,也 是 PKI 技术 的 研究 重点 。 


5. 优势 


PKI 作为 一 种 安全 技术 ,已 经 深入 到 网 络 的 各 个 层面 。 这 从 一 个 侧面 反映 了 PKI 强大 
的 生命 力 和 无 与 伦比 的 技术 优势 。PKI 的 灵魂 来 源 于 公 钥 密码 技术 ,这 种 技术 使 得 * 知 其 然 
不 知 其 所 以 然 ?成 为 一 种 可 以 证 明 的 状态 ,使 得 网 络 上 的 数字 签名 有 了 理论 上 的 安全 保障 。 
围绕 着 如 何 用 好 这 种 非 对 称 密码 技术 ,数字 证 书 破 壳 而 出 ,并 成 为 PKI 中 最 为 核心 的 元 素 。 

PKI 的 优势 主要 表现 在 : 

(1) 采用 公开 密 钥 密码 技术 ,能 够 支持 可 公开 验证 并 无 法 仿冒 的 数字 签名 ,从 而 在 支持 
可 追究 的 服务 上 具有 不 可 替代 的 优势 。 这 种 可 追究 的 服务 也 为 原 发 数据 完整 性 提供 了 更 高 
级 别 的 担保 。 支 持 可 以 公开 地 进行 验证 ,或 者 说 任意 的 第 三 方 可 验证 ,能 更 好 地 保护 弱势 个 

,完善 平等 的 网 络 系统 间 的 信息 和 操作 的 可 追究 性 。 

(2) 由 于 密码 技术 的 采用 ,保护 机 密 性 是 PKI 最 得 天 独 厚 的 优点 。PKI 不 仅 能 够 为 相 
互 认识 的 实体 之 间 提 供 机 密 性 服务 ,同时 也 可 以 为 陌生 的 用 户 之 间 的 通信 提供 保密 支持 。 

(3) 由 于 数字 证 书 可 以 由 用 户 独立 验证 ,不 需要 在 线 查询 ,原理 上 能 够 保证 服务 范围 的 
无 限制 扩张 ,这 使 得 PKI 能 够 成 为 一 种 服务 巨大 用 户 群 的 基础 设施 。PKI 采 用 数字 证 书 方 
式 进行 服务 , 即 通过 第 三 方 颁发 的 数字 证 书证 明 末 端 实体 的 密 钥 ,而 不 是 在 线 查 询 或 在 线 分 
发 。 这 种 密 钥 管理 方式 突破 了 过 去 安全 验证 服务 必须 在 线 的 限制 。 
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(4) PKI 提供 了 证 书 的 撤销 机 制 ,从 而 使 得 其 应 用 领域 不 受 具 体 应 用 的 限制 。 撤 销 机 
制 提供 了 在 意外 情况 下 的 补救 措施 ,在 各 种 安全 环境 下 都 可 以 让 用 户 更 加 放心 。 另 外 ,因为 
有 撤销 技术 ,不 论 是 永远 不 变 的 身份 ,还 是 经 常 变换 的 角色 ,都 可 以 得 到 PKI 的 服务 而 不 用 
担心 被 窃 后 身份 或 角色 被 永远 作废 或 被 他 人 恶意 次 用 。 为 用 户 提供 “改正 错误 "或 后悔" 的 
途径 是 良好 工程 设计 中 必须 的 一 环 。 

(5) PKI 具有 极 强 的 互联 能 力 。 不 论 是 上 下 级 的 领导 关系 ,还 是 平等 的 第 三 方 信任 关 
系 ,PKI 都 能 够 按照 人 类 世界 的 信任 方式 进行 多 种 形式 的 互联 互通 ,从 而 使 PKI 能 够 很 好 
地 服务 于 符合 人 类 习惯 的 大 型 网 络 信息 系统 。PKI 中 各 种 互联 技术 的 结合 使 建设 一 个 复杂 
的 网 络 信任 体系 成 为 可 能 。PKI 的 互联 技术 为 消除 网 络 世界 的 信任 孤岛 提供 了 充足 的 技术 
保障 。 


2.5.4 密 钥 的 托管 
1. 定义 


密 钥 托管 技术 又 称 为 密 钥 恢 复 (Key Recovery) ,是 一 种 能 够 在 紧急 情况 下 获取 解密 信 
息 的 技术 。 它 用 于 保存 用 户 的 私 钥 备份 , 既 可 在 必要 时 帮助 国家 司法 或 安全 等 部 门 获 取 原 
始 明文 信息 ,也 可 在 用 户 丢 失 、 损 坏 自己 密 钥 的 情况 下 人 恢复 明文 。 因 此 它 不 同 于 一 般 的 加 密 
和 解密 操作 。 现 在 美国 和 一 些 国家 规定 : 必须 在 加 密 系统 中 加 入 能 够 保证 法 律 执行 部 门 可 
方便 获得 明文 的 密 钥 恢复 机 制 , 否 则 将 不 允许 该 加 密 系统 推广 使 用 。 

美国 政府 于 1993 年 颁布 了 EES(Escrow EncryptlonStandard) ,该 标准 体现 了 一 种 新 
思想 , 即 对 密 钥 实行 法 定 托管 代理 的 机 制 。 如 果 向 法 院 提供 的 证 据 表明 ,密码 使 用 者 是 利用 
密码 在 进行 危及 国家 安全 和 违反 法 律 规定 的 事 , 经 过 法 院 许可 ,政府 可 以 从 托管 代理 机 构 取 
来 密 钥 参数 ,经 过 合成 运送 就 可 以 直接 侦 听 通 信 。 其 后 ,美国 政府 进一步 改进 并 提出 了 密 钥 
托管 (KeyEscrow) 政 策 , 希 望 用 这 种 办 法 加 强 政府 对 密码 使 用 的 调控 管理 ,如 图 2-6 所 示 。 


K K 
| | 
明文 一 | 加 密 上 TPRE -~| 加 密 |- 密 文 
USC USC 
1 
数据 恢复 密 钥 [一 
KEC 恢复 
1 
解密 |- 明文 


DRC 
图 2-6 密 钥 托管 加 密 体制 


2. 密 钥 托管 的 重要 功能 


(1) 防 抵赖 性 。 在 移动 电子 商务 活动 中 ,通过 数字 签名 既 可 验证 消息 发 送 方 的 身份 ,还 
可 防 抵赖 。 但 当 用 户 改 变 了 自己 的 密 钥 ,他 就 可 抵赖 没有 进行 过 此 电子 商务 活动 。 防 止 这 
种 抵赖 有 几 种 办 法 : 一 种 是 用 户 在 改 密 钥 时 必须 向 CA 说 明 , 不 能 自己 私自 改变 。 另 一 种 
是 密 钥 托管 , 当 用 户 抵赖 时 ,托管 人 就 可 出 示 他 们 存储 的 密 钥 来 合成 用 户 的 密 钥 ,使 用 户 没 
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法 抵赖 。 

(2) 政府 监听 。 政 府 、 法 律 职 能 部 门 或 合法 的 第 三 方 为 了 跟踪 、 截 获 犯罪 嫌疑 人 员 的 通 
信 , 需 要 获得 通信 双方 的 密 钥 。 这 时 合法 的 监听 者 就 可 通过 用 户 的 委托 人 收集 密 钥 份 额 来 
得 到 用 户 密 钥 ,就 可 进行 监听 。 

(3) 密 钥 恢复 。 用 户 遗 忘 了 密 钥 想 恢复 密 钥 ,就 可 从 委托 人 那里 收集 密 钥 份 额 来 恢复 
密 钥 。 


3. 常见 的 密 钥 托管 方案 


(1) 密 钥 托管 标准 (EES) 。 它 应 用 了 两 个 特性 : 一 个 保密 的 加 密 算法 一 一 Skipjack 算 
法 , 它 是 一 个 对 称 的 分 组 密码 ,密码 长 度 为 80 位 ,用 于 加 /解密 用 户 间 通 信 的 信息 。 为 法 律 
实施 提供 的 “后 门 ” 部 分 一 一 法 律 实施 访问 域 (Law Enforcement Access Field,LEAF) ,通过 
这 个 访问 域 ,政府 部 门 可 在 法 律 授权 下 取得 用 户 间 通信 的 会 话 密 钥 。 但 是 EES 同时 也 存在 
一 些 问题 ,如 系统 使 用 的 算法 Skipjack 是 保密 的 ,托管 机 构 需要 大 量 的 数据 库 来 存储 托管 
密 钥 ,如 果 硬 件 芯片 的 密 钥 被 泄露 ,整个 芯片 就 永久 失效 了 。 正 是 由 于 EES 存在 非常 明显 
的 缺陷 , 遭 到 了 公众 的 强烈 反对 而 不 能 推广 使 用 。 

(2) 门限 密 钥 托管 思想 。 门 限 密 钥 托管 的 思想 是 将 (&,z) 门 限 方案 和 密 钥 托 管 算法 相 
结合 。 这 个 思想 的 出 发 点 是 将 一 个 用 户 的 私 钥 分 为 于 个 部 分 ,每 一 部 分 通过 秘密 信道 交 给 
一 个 托管 代理 。 在 密 钥 恢复 阶段 ,在 其 中 的 不 少 于 & 个 托管 代理 参与 下 ,可 以 恢复 出 用 户 的 
私 钥 ,而 任意 少 于 A 的 托管 代理 都 不 能 够 恢复 出 用 户 的 私 钥 。 如 果 k 二 ,这 种 密 钥 托管 就 
退化 为 (n,n) 密 钥 托管 , 即 在 所 有 的 托管 机 构 的 参与 下 才能 恢复 出 用 户 私 钥 。 

(3) 部 分 密 钥 托管 思想 。shamir 首次 提出 了 部 分 密 钥 托管 的 方案 ,其 目的 是 为 了 在 监 
听 时 延迟 恢复 密 钥 ,从 而 阻止 了 法 律 授权 机 构 大 规模 实施 监听 的 事件 发 生 。 所 谓 部 分 密 钥 
托管 ,就 是 把 整个 私 钥 c 分 成 两 个 部 分 z0 和 a, 使 得 c==x0 十 a, 其 中 a 是 小 位 数 ,z0 是 被 托 
管 的 密 钥 。z0 被 分 为 多 个 子 密 钥 ,它们 分 别 被 不 同 的 托管 机 构 托 管 ,只 有 足够 多 的 托管 机 
构 合 在 一 起 才能 恢复 x0。 监 听 机 构 在 实施 监听 时 依靠 托管 机 构 只 能 得 到 z0, 要 得 到 用 户 
的 私 钥 ,就 需要 穷 举 搜 出 a。 

(4) 时 间 约 束 下 的 密 钥 托管 思想 。 政 府 的 密 钥 托管 策略 是 想 为 公众 提供 一 个 更 好 的 密 
码 算法 ,但 是 又 保留 监听 的 能 力 。 对 于 实际 用 户 来 说 , 密 钥 托 管 并 不 能 够 带 来 任何 好 处 ,但 
是 从 国家 安全 出 发 ,实施 电子 监视 是 必要 的 。 因 此 ,关键 在 寻找 能 够 最 大 程度 保障 个 人 利益 
的 同时 又 能 保证 政府 监视 的 体制 。A. K. Lenstra 等 人 提出 了 在 时 间 约 束 下 的 密 钥 托管 方 
案 , 它 既 能 较 好 地 满足 尽量 保障 个 人 利益 .同时 又 能 保证 政府 监视 的 体制 。 时 间 约 束 下 的 密 
钥 托管 方案 限制 了 监听 机 构 监 听 的 权限 和 范围 。 方 案 有 效 地 加 强 了 对 密 钥 托管 中 心 的 管 
理 , 同 时 也 限制 了 监听 机 构 的 权力 ,保证 了 密 钥 托管 的 安全 性 ,更 容易 被 用 户 信任 与 接受 。 


人 是 2 


1. 名 词 解释 
(1) 加密 ; (2) 代 换 密 码 ; (3) 置换 密码 ; (4) 密码 分 析 学 ;: (5) 椭 圆 曲 线 密码 学 ; 
(6)PKI; (7) 密 钥 托 管 技 术 。 
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物 联 网 安全 教程 


2. 判断 题 
(1) 公 钥 密码 公开 了 加 密 算 法 ,但 没有 公开 加 密 用 的 密 钥 。( ) 
(2) 密码 分 析 通 常 不 包括 并 非 主要 针对 密码 算法 或 协议 的 攻击 。 ) 
(3) 公开 密 钥 算法 中 ,用 公开 的 密 钥 进行 加 密 有 过 
而 用 私有 密 钥 进行 加 密 ,用 公开 密 钥 进行 解密 的 过 程 称 为 认证 。 ) 
(4) ee 加 密 密 钥 和 解密 密 钥 都 是 公 ee 加 密 算法 和 解密 算法 
也 都 是 公开 的 。( ) 
(5) ee UP ( ) 
3. 填空 题 
(1) 现代 密码 学 研究 信息 从 发 送 端 到 接收 端的 和 。 其 核心 
是 和 。 前 者 致力 于 建立 难以 被 敌 方 或 对 手 攻破 的 安全 密码 体制 ; 后 者 则 
力图 破译 敌 方 或 对 手 已 有 的 密码 体制 。 
(2) 编码 密码 学 主要 致力 于 和 方面 的 研究 。 
(3) 通常 使 用 或 实现 对 称 密码 。 
(4) 常见 的 身份 认证 形式 包括 i i 。 
(5) 从 网 络 应 用 来 看 , 密 钥 一 般 分 为 8 g 和 等 几 类 。 
(6) 完整 的 PKI 系统 必须 具有 等 基 
本 构成 部 分 ,构建 PKI 也 将 围绕 着 这 五 大 系统 来 着 手 构建 。 
4. 选择 题 
(1) RSA 的 缺点 主要 包括 ( Ws 
A. 产生 密 钥 很 麻烦 
B. 分 组 长 度 太 大 
C. RSA 密 钥 长 度 随 着 保密 级 别提 高 ,增加 很 快 
D. 安全 性 不 高 
(2) 公 钥 加 密 系 统 可 提供 以 下 ( ) 功 能 。 
A. 机 密 性 。 保 证 非 授 权 人 员 不 能 非法 获取 信息 ,通过 数据 加 密 来 实现 
B. 确认 。 保 证 对 方 属 于 所 声称 的 实体 ,通过 数字 签名 来 实现 
C. 数据 完整 性 。 保 证 信息 内 容 不 被 算 改 ,入 侵 者 不 可 能 用 假 消息 代替 合法 消息 ， 
通过 数字 签名 来 实现 
D. 不 可 抵赖 性 。 发 送 者 不 可 能 事后 否认 他 发 送 过 消息 ,消息 的 接收 者 可 以 向 中 立 
的 第 三 方 证 实 所 指 的 发 送 者 确实 发 出 了 消息 ,通过 数字 签名 来 实现 
(3) 数字 签名 有 ( ) 功 效 。 
A. 数字 签名 具有 唯一 性 
B. 能 确定 消息 确实 是 由 发 送 方 签名 并 发 出 来 的 
C. 数字 签名 能 确定 消息 的 完整 性 
D. 数字 签名 具有 保密 功能 
(4) 密 钥 管理 的 国际 标准 规范 主要 由 ( ) 组 成 。 
A. 密 钥 算法 分 析 B. 密 钥 管理 框架 
C. 采用 对 称 技术 的 机 制 D. 采用 非 对 称 技术 的 机 制 
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(5) 密 钥 托管 的 重要 功能 有 ( Ns 
A. 防 抵赖 性 B. 政府 监听 
C. 反 窃 听 D. 密 钥 恢复 
(6) 两 个 用 户 A 和 了 BB 要 建立 会 话 密 钥 , 需 经 过 以 下 三 个 步骤 ,正确 顺序 是 ( % 
QB 用 与 A 共享 的 主 密 钥 对 应 等 的 消息 加 密 , 并 发 送 给 A, 应 等 的 消息 中 包括 B 选取 
的 会 话 密 钥 、B 的 身份 VN1 和 另 一 个 一 次 性 随机 数 N2。 
@ A 向 BB 发 出 建立 会 话 密 钥 的 请 求 和 一 个 一 次 性 随机 数 N1 。 
@ A 用 新 建立 的 会 话 密 钥 加 密 f{N2 并 发 送 给 B。 
A. OOO B. OO@ C. @OO D. 90 
5. 简 答 题 
(1) 请 介绍 对 称 密码 的 两 种 类 型 ,并 比较 它们 。 
(2) 请 简单 介绍 AES 算法 的 方法 和 步骤 。 
(3) IDEA 算法 原理 是 什么 ? 
(4) 简单 介绍 数字 签名 技术 。 
6. 论述 题 
(1) PKI 的 优势 主要 表现 在 哪些 方面 ? 
(2) 密 钥 托管 思想 有 哪 几 种 ? 请 简单 介绍 一 下 。 
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a em 
Ty 3 


本 章 将 介绍 物理 安全 的 基本 概念 .环境 安全 威胁 与 防范 .设备 安全 问题 与 策略 .数据 存 
储 介质 的 安全 和 物理 安全 标准 。 要 求学 生 了 解 物理 安全 威胁 ,并 掌握 防范 方法 。 


6 物理 安全 概述 


本 节 将 介绍 物理 安全 的 基本 概念 ,威胁 和 防范 策略 。 其 中 包括 机 房 安全 ,设备 安全 和 存 
储 安全 。 


3.1.1 物理 安全 概念 
1. 概念 


物理 安全 是 为 保证 信息 系统 的 安全 可 靠 运 行 ,降低 或 阻止 人 为 或 自然 因素 从 物理 层 
面 对 信息 系统 保密 性 、 完 整 性 、 可 用 性 带 来 的 安全 威胁 ,从 系统 的 角度 采取 的 适当 安全 
措施 。 

物理 安全 也 称 为 实体 安全 ,是 系统 安全 的 前 提 。 硬 件 设备 的 安全 性 能 直接 决定 了 信 
息 系 统 的 保密 性 、 完 整 性 、 可 用 性 ,信息 系统 所 处 物理 环境 的 优 劣 直接 影响 了 信息 系统 的 
可 靠 性 ,系统 自身 的 物理 安全 问题 也 会 对 信息 系统 的 保密 性 、 完 整 性 、 可 用 性 带 来 安全 
威胁 。 

物理 安全 是 以 一 定 的 方式 运行 在 一 些 物理 设备 之 上 的 ,保障 物理 设备 安全 的 第 一 道 防 
线 。 物 理 安全 会 导致 系统 存在 风险 。 例 如 ,环境 事故 造成 的 整个 系统 毁灭 ; 电源 故障 造成 
的 设备 断 电 以 致 操作 系统 引导 失败 或 数据 库 信息 丢失 ; 设备 被 盗 ,被 毁 造 成 数据 丢失 或 信 
息 泄露 ; 电磁 辐射 可 能 造成 数据 信息 被 窃取 或 偷 阅 ; 报警 系统 的 设计 不 足 或 失灵 可 能 造成 
的 事故 等 。 

设备 安全 技术 主要 是 指 保障 构成 信息 网 络 的 各 种 设备 网络 线 路 、 供 电 连 接 、 各 种 媒体 
数据 本 身 以 及 其 存储 介质 等 安全 的 技术 ,主要 包括 设备 的 防盗 、 防 电磁 泄漏 、 防 电磁 干扰 等 ， 
是 对 可 用 性 的 要 求 。 所 有 的 物理 设备 都 是 运行 在 一 定 的 物理 环境 之 中 的 。 

物理 环境 安全 是 物理 安全 的 最 基本 保障 ,是 整个 安全 系统 不 可 缺少 和 忽视 的 组 成 部 分 。 
环境 安全 技术 主要 是 指 保障 信息 网 络 所 处 环境 安全 的 技术 ,主要 技术 规范 是 对 场地 和 机 房 
的 约束 ,强调 对 于 地 震 , 水 灾 、 火 灾 等 自然 灾害 的 预防 措施 ,包括 场地 安全 、 防 火 、 防 水 、 防 静 
电 、 防 雷击 ,电磁 防护 和 线路 安全 等 。 


第 3 章 ”物理 安全 威胁 与 防范 


2; 分 类 


(1) 狭义 物理 安全 。 传 统 意义 的 物理 安全 包括 设备 安全 、 环 境 安全 /设施 安全 以 及 介质 
安全 。 设 备 安全 的 技术 要 素 包 括 设备 的 标志 和 标记 、 防 止 电磁 信息 泄露 , 抗 电磁 干扰 、 电 源 
保护 以 及 设备 振动 、 碰 撞 、 冲 击 适应 性 等 方面 。 环 境 安 全 的 技术 要 素 包 括 机 房 场地 选择 、 机 
房 屏 项 、 防 火 、 防 水 、 防 雷 , 防 鼠 、 防 盗 防 毁 、 供 配 电 系 统 、 空 调 系统 、 综 合 布线 ,区 域 防护 等 方 
面 。 介 质 安全 的 安全 技术 要 素 包括 介质 自身 安全 以 及 介质 数据 的 安全 。 以 上 是 狭义 物理 安 
全 观 ,也 是 物理 安全 的 最 基本 内 容 。 

(2) 广义 物理 安全 。 广 义 的 物理 安全 还 应 包括 由 软件 、 硬 件 、 操 作 人 员 组 成 的 整体 信息 
系统 的 物理 安全 , 即 包 括 系 统 物理 安全 。 信 息 系 统 安全 体现 在 信息 系统 的 保密 性 、 完 整 性 、 
可 用 性 三 方面 ,从 物理 层面 出 发 ,系统 物理 安全 技术 应 确保 信息 系统 的 保密 性 、 可 用 性 、 完 整 
性 ,如 通过 边界 保护 、 配 置 管理 ,设备 管理 等 等 级 保护 措施 保护 信息 系统 的 保密 性 ,通过 容 
错 , 故 障 恢复 、 系 统 灾难 备份 等 措施 确保 信息 系统 可 用 性 ,通过 设备 访问 控制 .边界 保护 、 设 
备 及 网 络 资源 管理 等 措施 确保 信息 系统 的 完整 性 。 


3.1.2 物理 安全 的 定义 
1. 信息 系统 物理 安全 


为 了 保证 信息 系统 安全 可 靠 运行 ,确保 信息 系统 在 对 信息 进行 采集 处理、 传输 ,存储 过 
程 中 不 致 受到 人 为 或 自然 因素 的 危害 ,而 使 信息 丢失 泄露 或 破坏 ,对 计算 机 设备 .设施 ( 包 
括 机 房 建筑 ,供电 空调 ) \ 环 境 人 员 、 系 统 等 采取 适当 的 安全 措施 。 


2. 设备 物理 安全 


为 保证 信息 系统 的 安全 可 靠 运行 ,降低 或 阻止 人 为 或 自然 因素 对 硬件 设备 安全 可 靠 运 
行 带 来 的 安全 风险 ,对 硬件 设备 及 部 件 所 采取 的 适当 安全 措施 。 


3. 环境 物理 安全 


为 保证 信息 系统 的 安全 可 靠 运行 所 提供 的 安全 运行 环境 ,使 信息 系统 得 到 物理 上 的 严 
密 保 护 , 从 而 降低 或 避免 各 种 安全 风险 。 


4. 介质 物理 安全 


为 保证 信息 系统 的 安全 可 靠 运行 所 提供 的 安全 存储 的 介质 ,使 信息 系统 的 数据 得 到 物 
理 上 的 保护 ,从 而 降低 或 避免 数据 存储 的 安全 风险 。 


6.2 环境 安全 威胁 与 防范 


环境 安全 威胁 指 物理 设备 及 配套 部 件 的 安全 威胁 ,而 不 是 软件 逻辑 上 的 威胁 。 这 部 分 
的 防范 主要 是 要 采取 的 方法 和 策略 。 
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3.2.1 物理 安全 威胁 与 防范 


物理 设备 运行 在 某 一 个 物理 环境 中 。 环 境 不 好 ,对 物理 设备 有 威胁 ,自然 会 影响 其 运行 
效果 。 物 理 环境 安全 是 物理 安全 的 最 基本 保障 ,是 整个 安全 系统 不 可 缺少 和 忽视 的 组 成 部 
分 。 环 境 安全 技术 主要 是 保障 物 联 网 系统 安全 的 相关 技术 。 其 技术 规范 是 物 联网 系统 运行 
环境 内 外 (场地 和 机 房 ) 的 约束 。 其 环境 分 为 自然 环境 和 人 为 干扰 。 自 然 环境 包括 地 震 、 水 
灾 和 火灾 等 自然 灾害 。 人 为 环境 包括 静电 、 和 雷击 .电磁 、 线 路 破坏 和 盗窃 等 。 


1. 自然 环境 威胁 


(1) 地 震 。 地 震 灾害 具有 突 发 性 和 不 可 预测 性 ,并 产生 严重 次 生 灾害 ,对 机 器 设备 会 产 
生 很 大 影响 。 但 是 ,破坏 性 地 震 发 生 之 前 ,人 们 对 地 震 有 没有 防御 ,防御 工作 做 得 好 与 否 将 
会 大 大 影响 到 经 济 损失 的 大 小 和 人 员 伤亡 的 多 少 。 防 御 工作 做 得 好 ,就 可 以 有 效 地 减轻 地 
震 的 灾害 损失 。 

(2) 水 灾 。 水 灾 指 洪水 .暴雨 ,建筑 物 积 水 和 漏 雨 等 对 设备 造成 的 灾害 。 水 灾 不 仅 威胁 
人 民生 命 安全 ,也 会 造成 设备 的 巨大 财产 损失 ,并 对 物 联网 系统 运行 产生 不 良 影 响 。 对 付 水 
灾 , 可 采取 工程 和 非 工程 措施 以 减少 或 避免 其 危害 和 损失 。 

(3) 雷击 。 雷 电 是 一 种 伴 有 闪电 和 雷鸣 的 放电 现象 。 产 生 雷 电 的 条 件 是 雷雨 云 中 有 积 
累 并 形成 极 性 。 雷 电 会 对 人 和 建筑 造成 危害 ,而 电磁 脉冲 主要 影响 电子 设备 ,主要 是 受 感应 
作用 所 致 。 和 雷击 防范 的 主要 措施 是 根据 电器 、 征 电子 设备 的 不 同 功能 及 不 同 受 保护 程序 和 
所 属 保护 层 确定 防护 要 点 作 分 类 保护 ; 根据 雷电 和 操作 瞬间 过 电压 危害 的 可 能 通道 从 电源 
线 到 数据 通信 线路 都 应 做 多 层 保护 。 

(4) 火灾 。 火 灾 是 指 在 时 间 和 空间 上 失去 控制 的 燃烧 所 造成 的 灾害 。 在 各 种 灾害 中 ， 
火灾 是 最 经 常 、 最 普遍 地 威胁 公众 安全 和 社会 发 展 的 主要 灾害 之 一 。 人 类 能 够 对 火 进行 利 
用 和 控制 是 文明 进步 的 一 个 重要 标志 。 但 是 ,失去 控制 的 火 就 会 给 人 类 造成 灾难 。 机 房 发 
生火 灾 一 般 是 由 于 电器 原因 、 人 为 事故 或 外 部 火灾 蔓延 引起 的 。 电 器 设备 和 线路 因为 短路 、 
过 载 接触 不 良 、 绝 缘 层 破坏 或 静电 等 原因 引起 电 打 火 而 导致 火灾 。 人 为 事故 是 指 由 于 操作 
人 员 不 慎 , 吸 烟 、 乱 扔 烟头 等 ,使 存在 易 燃 物质 (如 纸 片 、 磁 带 和 胶片 等 ) 的 机 房 起 火 , 当 然 也 
不 排除 人 为 故意 放火 。 外 部 火灾 蔓延 是 因 外 部 房间 或 其 他 建筑 物 起 火 而 蔓延 到 机 房 而 引起 
火灾 。 火 灾 防 范 的 关键 是 提高 人 们 的 安全 意识 。 


2. 人 为 干扰 威胁 


(1) 资 窃 。 盗 窃 指 以 非法 占有 为 目的 ,秘密 窃取 他 人 占有 的 数额 较 大 的 公私 财物 或 者 
多 次 穷 取 公私 财物 的 行为 。 物 联网 的 很 多 设备 和 部 件 都 价值 不 菲 ,这 也 是 偷窃 者 的 目标 。 
因为 偷窃 行为 所 造成 的 损失 可 能 远 远 超过 其 本 身 的 价值 ,因此 必须 采取 严格 的 防范 措施 ,以 
确保 计算 机 设备 不 会 丢失 。 

(2) 人 为 损坏 。 人 为 损坏 包括 故意 的 和 无 意 的 设备 损坏 。 无 意 的 设备 损坏 多 半 是 操作 
不 当 造 成 的 ; 而 有 意 破坏 则 是 有 预谋 的 破坏 。 这 两 种 情况 都 存在 。 预 防 的 方法 是 对 于 重要 
的 设备 ,加 强 外 部 的 物理 保护 ,如 专用 间 、 围 栏 和 保护 外 壳 等 。 

(3) 静电 。 静 电 是 由 物体 间 的 相互 摩擦 ,接触 而 产生 的 , 物 联 网 设备 也 会 产生 很 强 的 静 
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电 。 静 电 产 生 后 ,由 于 未 能 释放 而 保留 在 物体 内 ,会 有 很 高 的 电位 (能 量 不 大 ) ,从 而 产生 静 
电 放电 火花 ,造成 火灾 。 还 可 能 使 大 规模 集成 电器 损坏 ,这 种 损坏 可 能 是 不 知 不 觉 造成 的 。 

(4) 电磁 泄漏 。 电 子 设备 在 工作 时 要 产生 电磁 发 射 。 电 磁 发 射 包 括 辐射 发 射 和 传导 发 
射 。 这 两 种 电磁 发 射 可 被 高 灵敏 度 的 接收 设备 接收 并 进行 分 析 、 还 原 ,造成 计算 机 的 信息 泄 
露 。 屏 项 是 防 电磁 泄漏 的 有 效 措施 ,屏蔽 主要 有 电 屏 项、 磁 屏蔽 和 电磁 屏蔽 三 种 类 型 。 


3.2.2 ”外界 干扰 与 抗 干扰 


物 联网 系统 的 外 部 干扰 主要 集中 在 数据 采集 这 个 阶段 ,也 就 是 感知 器 件 的 外 部 干扰 。 
因此 , 物 联网 数据 采集 器 部 分 抗 干扰 将 是 讨论 的 重点 。 


1. 数据 采集 的 外 界 干扰 


1) 干扰 的 定义 

干扰 是 指 对 系统 的 正常 工作 产生 不 良 影响 的 内 部 或 外 部 因素 。 从 广义 上 讲 , 机 电 一 体 
化 系统 的 干扰 因素 包括 电磁 干扰 ,温度 干扰 ,湿度 干扰 ,声波 干扰 和 振动 干扰 等 。 在 众多 干 
扰 中 ,电磁 干扰 最 为 普遍 ,上 且 对 控制 系统 影响 最 大 ,而 其 他 干扰 因素 往往 可 以 通过 一 些 物理 
的 方法 较 容 易 地 解决 。 

电磁 干扰 是 指 在 工作 过 程 中 受 环境 因素 的 影响 ,出 现 的 一 些 与 有 用 信号 无 关 的 ,并 且 对 
系统 性 能 或 信号 传输 有 害 的 电气 变化 现象 。 这 些 有 害 的 电气 变化 现象 使 得 信号 的 数据 发 生 
瞬 态 变化 , 增 大 误差 ,出 现 假象 ,甚至 使 整个 系统 出 现 异常 信号 而 引起 故障 。 例 如 传感器 的 
导线 受 空中 磁场 影响 产生 的 感应 电势 会 大 于 测量 的 传感器 输出 信号 ,使 系统 判断 失灵 。 

2) 形成 干扰 的 三 个 要 素 

干扰 的 形成 包括 三 个 要 素 : 干扰 源 、 传 播 途径 和 接受 载体 。 三 个 要 素 缺少 任何 一 项 干 
扰 都 不 会 产生 。 

(1) 干扰 源 。 产 生 干 扰 信号 的 设备 被 称 作 干 扰 源 ,如 变压器 、 继 电器 \ 微 波 设备 ,电机 、 
无 强 电 话 和 高 压 电 线 等 都 可 以 产生 空中 电磁 信号 。 当 然 ,雷电 、 太 阳 和 宇宙 射线 属于 干 

(2) 传播 途径 。 是 指 干扰 信号 的 传播 路 径 。 电 磁 信 号 在 空中 直线 传播 ,并 具有 穿 透 性 
的 传播 叫做 辐射 方式 传播 ,电磁 信号 借助 导线 传人 设备 的 传播 被 称 为 传导 方式 传播 。 传 播 
途径 是 干扰 扩散 和 无 所 不 在 的 主要 原因 。 

(3) 接受 载体 。 是 指 受 影响 设备 的 某 个 环节 吸收 了 干扰 信号 ,转化 为 对 系统 造成 影响 
的 电器 参数 。 接 受 载体 不 能 感应 干扰 信号 或 弱化 干扰 信号 ,使 其 不 被 干扰 影响 就 提高 了 抗 
干扰 的 能 力 。 接 受 载 体 的 接受 过 程 又 称 为 耦合 ,耦合 分 为 传导 耦合 和 辐射 耦合 两 类 。 传 导 
耦合 是 指 电磁 能 量 以 电压 或 电流 的 形式 通过 金属 导线 或 集 总 元 件 ( 如 电容 器 .变压器 等 ) 耦 
合 至 接受 载体 。 辐 射 耦合 指 电磁 干扰 能 量 通过 空间 以 电磁 场 形式 斐 合 至 接受 载体 。 

根据 干扰 的 定义 可 以 看 出 ,信号 之 所 以 是 干扰 因为 它 对 系统 造成 了 不 良 影 响 , 反 之 则 不 
能 称 其 为 干扰 。 从 形成 干扰 的 要 素 可 知 ,消除 三 个 要 素 中 的 任何 一 个 都 会 避免 干扰 。 抗 干 
扰 技 术 就 是 针对 三 个 要 素 的 研究 和 处 理 。 

3) 电磁 干扰 的 种 类 

物 联 网 系统 工作 时 产生 的 电磁 发 射 可 被 高 灵敏 度 的 接收 设备 接收 并 进行 分 析 、 还 原 , 造 
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成 系统 信息 泄露 。 外 界 的 电磁 干扰 也 能 使 物 联 网 系统 工作 不 正常 ,甚至 瘫痪 。 必 须 通 过 屏 
珊 、 隔 离 .滤波 , 吸 波 和 接地 等 措施 提高 计算 机 网 络 系统 的 抗 干扰 能 力 ,使 之 能 抵抗 强 电磁 干 
扰 ; 同时 将 物 联网 的 电磁 泄漏 发 射 降 到 最 低 。 物 联网 系统 和 其 他 电子 设备 一 样 ,工作 时 要 
产生 电磁 发 射 ,电磁 发 射 可 被 高 灵敏 度 的 接收 设备 接收 并 进行 分 析 、 还 原 ,造成 系统 信息 泄 
露 。 另 一 方面 , 物 联网 系统 又 处 在 复杂 的 电磁 干扰 的 环境 中 ,这 种 电磁 干扰 有 时 很 强 , 使 物 
联网 系统 不 能 正常 工作 ,甚至 被 摧毁 。 电 磁 防 护 的 措施 有 两 类 : 一 类 是 对 传导 发 射 的 防护 ， 
主要 采取 对 电源 线 和 信号 加 装 性 能 良好 的 滤波 器 , 减 小 传输 阻抗 和 导线 间 的 交叉 耦合 ; 另 
一 类 是 对 辐射 的 防护 ,这 类 防护 措施 又 可 以 分 为 以 下 两 种 : 一 种 是 采用 各 种 电磁 屏蔽 措施 ， 
如 对 设备 的 金属 屏蔽 和 各 种 接 插 件 的 屏蔽 ,同时 对 机 房 的 下 水 管 . 上 暖气 管 和 人 金属 门窗 进行 屏 
珊 和 隔离 ; 另 一 种 是 干扰 的 保护 措施 , 即 在 计算 机 系统 工作 的 同时 ,利用 干扰 装置 产生 一 种 
与 物 联网 系统 辐射 相关 的 伪 噪 声 向 空气 辐射 来 掩盖 物 联网 系统 的 工作 频率 和 信息 特征 。 

按 干 扰 的 耦合 模式 分 类 ,电磁 干扰 包括 下 列 类 型 ; 

(1) 静电 干扰 。 大 量 物体 表面 都 有 静电 电荷 存在 ,特别 是 含 电 气 控制 的 设备 ,静电 电荷 
会 在 系统 中 形成 静电 电场 。 项 电 电 场 会 引起 电路 的 电位 发 生变 化 ,通过 电容 耦合 产生 干扰 。 
静电 干扰 还 包括 电路 周围 物件 上 积聚 的 电荷 对 电路 的 汇 放 ,大 载 流 导体 (输电 线路 ) 产 生 的 
电场 通过 寄生 电容 对 机 电 一 体 化 装置 传输 的 耦合 干扰 等 。 

(2) 磁场 耦合 干扰 。 大 电流 周围 磁场 对 机 电 一 体 化 设备 回路 耦合 形成 的 干扰 。 动 力 
线 . 电 动机 ,发 电机 ,电源 变压器 和 继电器 等 都 会 产生 这 种 磁场 。 产 生 磁 场 干扰 的 设备 往往 
同时 伴随 着 电场 的 干扰 ,因此 又 统一 称 为 电磁 干扰 。 

(3) 漏电 耦合 干扰 。 绝 缘 电 阻 降低 而 由 漏电 流 引起 的 和 干扰。 多 发 生 于 工作 条 件 比较 恶 
劣 的 环境 或 器 件 性 能 退化 、 器 件 本 身 老 化 的 情况 下 。 

(4) 共 阻 抗 干扰 。 共 阻抗 干扰 是 指 电路 各 部 分 公共 导线 阻抗 .地 阻抗 和 电源 内 阻 压 降 
相互 耦合 形成 的 干扰 。 这 是 机 电 一 体 化 系统 普遍 存在 的 一 种 干扰 。 

(5) 电磁 辐射 干扰 。 由 各 种 大 功率 高 频 、 中 频 发 生 装 置 . 各 种 电 火 花 以 及 电台 电视 台 等 
产生 高 频 电 磁 波 向 周围 空间 辆 射 ,形成 电磁 辐射 干扰 。 雷 电 和 宇宙 空间 也 会 有 电磁 波 干扰 
信和 号。 

4) 干扰 存在 的 形式 

在 电路 中 ,干扰 信号 通常 以 串 模 干扰 和 共 模 干扰 形式 与 有 用 信号 一 同 传输 。 

(1) 串 模 干扰 是 释 加 在 被 测 信 号 上 的 干扰 信号 ,也 称 为 横向 干扰 。 产 生 串 模 干扰 的 原 
因 有 分 布 电容 的 静电 耦合 ,长 线 传输 的 互感 ,空间 电磁 场 引起 的 磁场 耦合 ,以 及 50Hz 的 同 
频 干 扰 等 。 

(2) 共 模 干扰 往往 是 指 同 时 加 载 在 各 个 输入 信号 接口 端的 共有 信号 干扰 。 


2. 数据 采集 外 界 抗 干扰 措施 


为 了 提高 电子 设备 的 抗 干扰 能 力 , 除 了 在 芯片 .部 件 上 提高 抗 干扰 能 力 外 ,主要 的 措施 
有 屏蔽 、 隔 离 、 滤 波 、 吸 波 和 接地 等 ,其 中 屏蔽 是 应 用 最 多 的 方法 。 

提高 抗 干扰 的 措施 最 理想 的 方法 是 抑制 干扰 源 ,使 其 不 向 外 产生 干扰 或 将 其 干扰 影响 
限制 在 允许 的 范围 之 内 。 由 于 车 间 现 场 干 扰 源 的 复杂 性 ,要 想 对 所 有 的 干扰 源 都 做 到 使 其 
不 向 外 产生 干扰 几乎 是 不 可 能 的 ,也 是 不 现实 的 。 另 外 ,来 自 于 电网 和 外 界 环境 的 干扰 ,机 
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电 一 体 化 产品 用 户 环 境 的 干扰 也 是 无 法 避免 的 。 因 此 ,在 产品 开发 和 应 用 中 ,除了 对 一 些 重 
要 的 干扰 源 ,主要 是 对 被 直接 控制 的 对 象 上 的 一 些 干扰 源 进行 抑制 外 ,更 多 的 则 是 在 产品 内 
设法 抑制 外 来 干扰 的 影响 ,以 保证 系统 可 靠 地 工作 。 抑 制 干扰 的 措施 很 多 ,主要 包括 屏蔽 、 
隔离 滤波、 接地 和 软件 处 理 等 方法 。 

1) 屏蔽 

屏蔽 是 利用 导电 或 导 磁 材料 制 成 的 盒 状 或 过 状 屏蔽 体 ,将 干扰 源 或 干扰 对 象 包围 起 来 
从 而 割断 或 削弱 干扰 场 的 空间 耦合 通道 ,阻止 其 电磁 能 量 的 传输 。 屏 项 可 以 有 效 地 抑制 电 
磁 信息 向 外 泄露 ,衰减 外 界 电磁 干扰 ,保护 内 部 的 设备 、 器 件 或 电路 ,使 其 能 在 恶劣 的 电磁 环 
境 下 正常 工作 。 按 需 屏蔽 的 干扰 场 性 质 不 同 , 可 分 为 电场 屏蔽 、 磁 场 屏 蔽 和 电磁 场 屏 蔽 。 平 
时 所 说 的 屏蔽 一 般 指 电磁 屏蔽 。 还 有 几 种 特殊 的 屏蔽 措施 ,如 金属 板 屏蔽 、 金 属 栅 网 屏蔽 、 
多 层 屏蔽 ` 薄 膜 屏蔽 也 能 达到 预期 效果 。 

(1) 电场 屏蔽 。 为 了 消除 或 抑制 由 于 电场 耦合 引起 的 干扰 。 通 常用 铜 和 铅 等 导电 性 能 
良好 的 金属 材料 作 屏 项 体 , 屏 项 体 结构 应 尽量 完整 严密 并 保持 良好 的 接地 。 

(2) 磁场 屏蔽 。 为 了 消除 或 抑制 由 于 磁场 耦合 引起 的 干扰 。 对 静 磁 场 及 低频 交 变 磁 
场 , 可 用 高 磁 导 率 的 材料 作 屏 项 体 来 保证 磁 路 畅通 。 对 高 频 交 变 磁 场 , 主 要 靠 屏 蔽 体 壳 体 上 
感 生 的 涡流 所 产生 的 反 磁 场 起 排斥 原 磁 场 的 作用 。 选 用 材料 也 是 良 导体 , 如 铜 、. 铝 等 。 

2) 隔离 

隔离 是 指 把 干扰 源 与 接收 系统 隔离 开 来 ,使 有 用 信号 正常 传输 ,而 干扰 耦合 通道 被 切 
断 , 达 到 抑制 干扰 的 目的 。 常 见 的 隔离 方法 有 光电 隔离 .变压器 隔离 和 继电器 隔离 。 

(1) 光电 隔离 。 光 电 隔 离 是 以 光 作 为 媒介 在 隔离 的 两 端 进行 信号 传输 ,所 用 的 器 件 是 
光电 耦合 器 。 由 于 光电 耦合 器 在 传输 信息 时 不 是 将 其 输入 和 输出 的 电信 号 进行 直接 耦合 ， 
而 是 借助 于 光 作 为 媒介 物 进 行 耦合 ,因而 具有 较 强 的 隔离 和 抗 干扰 能 力 。 

(2) 变压器 隔离 。 对 于 交流 信号 的 传输 一 般 使 用 变压器 隔离 干扰 信号 的 办 法 。 隔 离 变 
压 器 也 是 常用 的 隔离 部 件 ,用 来 阻 断交 流 信号 中 的 直流 干扰 ,抑制 低频 干扰 信号 的 强度 ,并 
把 各 种 模拟 负载 和 数字 信号 源 隔 离开 来 。 传 输 信 号 通过 变压器 获得 通路 ,而 共 模 干扰 由 于 
不 能 形成 回路 而 被 抑制 。 

(3) 继电器 隔离 。 继 电器 线圈 和 触 点 仅 在 机 械 上 形成 联系 ,而 没有 直接 的 联系 ,因此 可 
利用 继电器 线圈 接收 电信 号 ,利用 其 触 点 控制 和 传输 电信 号 ,从 而 实现 强 电 和 弱电 的 隔离 。 
同时 ,继电器 触 点 较 多 ,其 触 点 能 承受 较 大 的 负载 电流 ,因此 应 用 非常 广泛 。 

3) 滤波 

滤波 是 抑制 干扰 传导 的 一 种 重要 方法 。 由 于 干扰 源 发 出 电磁 干扰 频谱 往往 比 要 接收 的 
信和 号 的 频谱 宽 得 多 ,因此 当 接 收 器 接收 有 用 信号 时 ,也 会 接收 到 那些 不 希望 有 的 干扰 。 这 时 
可 以 采用 滤波 的 方法 ,只 让 所 需要 的 频率 成 分 通过 ,而 将 干扰 频率 成 分 加 以 抑制 。 

常用 滤波 器 根据 其 频率 特性 又 可 分 为 低 通 ,高 通 、 带 通 和 带 阻 等 。 低 通 滤波 器 只 让 低频 
成 分 通过 ,而 高 于 截止 频率 的 成 分 则 受 抑 制 、 衰 减 , 不 让 通过 。 高 通 滤波 器 只 通过 高 频 成 分 ， 
而 低 于 截止 频率 的 成 分 则 受 抑 制 、 衰 减 ,不 让 通过 。 带 通 滤波 器 只 让 某 一 频带 范围 内 的 频率 
成 分 通过 ,而 低 于 下 截止 和 高 于 上 截止 频率 的 成 分 均 受 抑制 ,不 让 通过 。 带 阻 滤波 器 只 抑制 
某 一 频率 范围 内 的 频率 成 分 ,不 让 其 通过 ,而 低 于 下 截止 和 高 于 上 截止 频率 的 频率 成 分 则 可 
通过 。 
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4) 接地 

将 电路 、 设 备 机 壳 等 与 作为 零 电 位 的 一 个 公共 参考 点 (大 地 ) 实 现 低 阻 抗 的 连接 , 称 之 为 
接地 。 接 地 的 目的 有 两 个 : 一 是 为 了 安全 ,例如 把 电子 设备 的 机 壳 、 机 座 等 与 大 地 相 接 , 当 
设备 中 存在 漏电 时 ,不 致 影响 人 身 安全 , 称 为 安全 接地 ; 二 是 为 了 给 系统 提供 一 个 基准 电 
位 ,例如 脉冲 数字 电路 的 零 电位 点 等 ,或 为 了 抑制 干扰 ,如 屏蔽 接地 等 。 

5) 软件 抗 干扰 设计 

(1) 软件 滤波 。 用 软件 来 识别 有 用 信号 和 干扰 信号 ,并 滤 除 干扰 信号 的 方法 称 为 软件 
滤波 。 识 别 信号 的 原则 有 三 种 : 

@ 时 间 原 则 。 如 果 掌 握 了 有 用 信号 和 干扰 信号 在 时 间 上 出 现 的 规律 性 ,在 程序 设计 上 
就 可 以 在 接收 有 用 信号 的 时 区 打开 输入 口 ,而 在 可 能 出 现 干扰 信号 的 时 区 封闭 输入 口 ,从 而 
滤 掉 干扰 信号 。 

@ 空间 原则 。 在 程序 设计 上 为 保证 接收 到 的 信号 正确 无 误 , 可 将 从 不 同位 置 .用 不 同 
检测 方法 、 经 不 同 路 线 或 不 同 输入 口 接收 到 的 同一 信号 进行 比较 ,根据 既定 逻辑 关系 来 判断 
真 伪 , 从 而 滤 掉 干扰 信号 。 

@ 属性 原则 。 有 用 信号 往往 是 在 一 定 幅 值 或 频率 范围 的 信号 , 当 接 收 的 信号 远离 该 信 
号 区 时 ,软件 可 通过 识别 予以 剔除 。 

(2) 软件 “陷阱 ”。 从 软件 的 运行 来 看 ,瞬时 电磁 干扰 可 能 会 使 CPU 偏离 预定 的 程序 指 
针 , 进 入 未 使 用 的 RAM 区 和 ROM 区 ,引起 一 些 莫名 其 妙 的 现象 ,其 中 死 循 环 和 程序 “ 飞 
掉 ” 是 常见 的 。 为 了 有 效 地 排除 这 种 干扰 故障 ,常用 软件 “陷阱 法 ”。 这 种 方法 的 基本 指导 思 
想 是 把 系统 存储 器 (RAM 和 ROM) 中 没有 使 用 的 单元 用 某 一 种 重新 启动 的 代码 指令 填 满 ， 
作为 软件 “陷阱 ”, 以 捕获 “ 飞 掉 ”的 程序 。 一 般 当 CPU 执行 该 条 指令 时 ,程序 就 自动 转 到 某 
一 起 始 地 址 ,而 从 这 一 起 始 地 址 开始 存放 一 段 使 程序 重新 恢复 运行 的 热 启动 程序 ,该 热 启 动 
程序 扫描 现场 的 各 种 状态 ,并 根据 这 些 状 态 判断 程序 应 该 转 到 系统 程序 的 哪个 人 口 ,使 系统 
重新 投入 正常 运行 。 

(3) 软件 “看 门 狗 ”。“ 看 门 狗 (WATCHDOG)” 就 是 用 硬件 (或 软件 ) 的 办 法 要 求 使 用 监 
控 定 时 器 定时 检查 某 段 程序 或 接口 , 当 超过 一 定时 间 系 统 没 有 检查 这 段 程序 或 接口 时 ,可 以 
认定 系统 运行 出 错 (干扰 发 生 ) ,可 通过 软件 进行 系统 复位 或 按 事先 预定 方式 运行 .。“ 看 门 
狗 ” 是 工业 控制 机 普遍 采用 的 一 种 软件 抗 干扰 措施 。 当 侵入 的 尖 锋 电磁 干扰 使 计算 机 “ 飞 程 
序 ” 时 ,WATCHDOG 能 够 帮助 系统 自动 恢复 正常 运行 。 


3.2.3 机房 安全 
1. 机 房 安 全 要 求 


机 房 是 各 类 信息 设备 的 中 枢 ,机房 工程 必须 保证 网 络 和 计算 机 等 高 级 设备 能 长 期 而 可 
靠 地 运行 。 其 质量 的 优 劣 直接 关系 到 机 房 内 整个 信息 系统 是 否 能 稳定 可 靠 地 运行 ,是 否 能 
保证 各 类 信息 通信 畅通 无 阻 。 机 房 的 环境 必须 满足 计算 机 等 各 种 微机 电子 设备 和 工作 人 员 
对 温度 \ 湿 度 、 洁 净 度 、 电 磁场 强度 ,噪音 干扰 、 安 全 保安 、 防 漏 、 电 源 质量 、 振 动 , 防 雷 和 接地 
等 的 要 求 。 机 房 的 物理 环境 受到 了 严格 控制 ,主要 分 为 温度 、 电 源 、 地 板 、 监 控 等 方面 。 

(1) 温度 。 说 到 温度 ,一 般 用 的 都 是 空调 了 。 空 调用 来 控制 数据 中 心 的 温度 和 湿度 , 制 
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冷 与 空调 工程 协会 的 “数据 处 理 环境 热 准 则 ”建议 温度 范围 为 20C 一 25C(68 下 一 75 下 ) , 湿 
度 范围 为 40%% 一 55% ,适宜 数据 中 心 环境 的 最 大 露点 温度 是 17*C 。 在 数据 中 心 电 源 会 加 热 
空气 ,除非 热量 被 排除 出 去 ,否则 环境 温度 就 会 上 升 , 导 致电 子 设备 失灵 。 通 过 控制 空气 温 
度 ,服务器 组 件 能 够 保持 在 制造 商 规定 的 温度 /湿度 范围 内 。 空 调 系统 通过 冷却 室内 空气 下 
降 到 露点 帮助 控制 湿度 ,湿度 太 大 ,水 可 能 在 内 部 部 件 上 开始 凝结 。 如 果 在 干燥 的 环境 中 ， 
辅助 加 湿 系统 可 以 添加 水 蒸气 ,因为 如 果 湿 度 太 低 , 可 能 导致 静电 放电 问题 ,可 能 会 损坏 元 
器 件 。 

(2) 电源 。 机 房 的 电源 由 一 个 或 多 个 不 间断 电源 (UPS) 和 /或 柴油 发 电机 组 成 备用 电 
源 。 为 了 避免 出 现 单 点 故障 ,所 有 电力 系统 ,包括 备用 电源 都 是 全 元 余 的 。 对 于 关键 服务 器 
来 说 ,要 同时 连接 到 两 个 电源 ,以 实现 N 十 1 宛 余 系统 的 可 靠 性 。 静 态 开 关 有 时 用 来 确保 在 
发 生 电 力 故 障 时 瞬间 从 一 个 电源 切换 到 另 一 个 电源 。 为 了 保证 设备 用 电 质 量 和 用 电 安 全 ， 
电源 应 至 少 有 两 路 供电 ,并 应 有 自动 转换 开关 , 当 一 路 供电 有 问题 时 ,可 迅速 切换 到 备用 线 
路 供电 。 应 安装 备用 电源 ,如 UPS, 停 电 后 可 供电 8 小 时 或 更 长 时 间 。 关 键 设备 应 有 备用 
发 电机 组 和 应 急电 源 。 同 时 为 防止 .限制 瞬 态 过 压 和 引导 浪 涌 电 流 , 应 配备 电 涌 保 护 器 (过 
压 保 护 器 ) 。 为 防止 保护 器 的 老化 寿命 终止 或 雷击 时 造成 的 短路 ,在 电 涌 保 护 器 的 前 端 应 
有 诸如 熔断 器 等 过 电流 保护 装置 。 

(3) 地 板 。 机 房 的 地 板 相 对 瓷砖 地 板 要 提升 60cm(2 英尺 ) ,这 个 高 度 现在 变 得 更 高 了 ， 
是 80 一 100cm, 以 提供 更 好 的 气流 均匀 分 布 。 这 样 空调 系统 可 以 把 冷 空气 也 灌 到 地 板 下 , 同 
时 也 为 地 下 电力 线 布线 提供 更 充足 的 空间 。 现 代数 据 中 心 的 数据 电缆 通常 是 经 由 高 架 电费 
盘 铺设 的 ,但 仍然 有 些 人 建议 出 于 安全 考虑 还 是 应 将 数据 线 铺 设 到 地 板 下 ,并 考虑 增加 冷却 
系统 。 小 型 数据 中 心里 没有 提升 的 地 板 可 以 不 用 防 静 电 地 板 。 计 算 机 机 柜 往往 被 组 织 到 一 
个 热 通道 中 ,以 便 使 空气 流通 效率 最 好 。 

(4) 监控 报警 。 按 照 国家 有 关 标 准 设计 实施 ,机 房 应 具备 消防 报警 .安全 照明 不 间断 
供电 ` 温 湿度 控制 系统 和 防盗 报警 ,以 保护 系统 免 受 水 `. 火 有 害 气体 地震、 静电 的 危害 。 针 
对 重要 的 机 房 或 设备 应 采取 防盗 措施 ,例如 应 用 视频 监视 系统 ,能 对 系统 运行 的 外 围 环境 、 
操作 环境 实施 监控 。 电 源 管理 排查 干扰 ,电源 线 的 中 断 、 异 常 .电压 瞬 变 、 冲 击 、 品 声 、 突 然 失 
效 事件 。 


2. 机 房 安 全 设计 


如 果 机 房 的 防 静 电 、 防 火 防水 、 接 地 防 雷 、 室 内 温 湿 度 有 保障 ,可 有 效 提高 机 房 的 物理 安全 
性 。 机 房 应 该 符合 国家 标准 和 国家 有 关 规 定 。 其 中 ,D 级 信息 系统 机 房 应 符合 GB 9361 一 88 
的 了 类 机 房 要 求 ; B 级 和 C 级 信息 系统 机 房 应 符合 GB 9361 一 88 的 A 类 机 房 要 求 。 

在 设计 时 应 对 供 配 电 方式 ` 空 气 净化 、 安 全 防范 措施 以 及 防 静电 、 防 电磁 辐射 和 抗 电磁 
干扰 、 防 水 防潮 、 防 雷击 、 防 火 防 尘 等 诸多 方面 给 予 高 度 的 重视 。 要 符合 安全 可 靠 、 应 用 灵 
活 、 管 理科 学 等 几 个 方面 的 基本 要 求 ,在 方案 设计 论证 时 应 严格 按照 国家 相关 标准 执行 ,在 
机 房 设计 中 首先 要 依据 相关 标准 确定 机 房 的 建设 等 级 ,安全 等 级 、 风 险 等 级 ,然后 根据 各 个 
等 级 所 需要 达到 的 设计 要 求 进行 各 子 系统 的 专业 设计 。 机 房 建设 主要 涉及 : 

(1) 机 房 装饰 。 抗 静电 地 板 铺设 、 棚 项 墙 体 装修 、 天 棚 及 地 面 防 尘 处 理 、 门 窗 等 。 

(2) 供 配 电 系统 。 供 电 系统 \ 配 电 系统 .照明 \ 应 急 照 明 .UPS 电源 。 
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(3) 空调 新 风 系 统 。 机 房 精密 空调 、 新 风 换 气 系统 。 

(4) 消防 报警 系统 。 消 防 报警 .手提 式 灭火 器 。 

(5) 防盗 报警 系统 。 红 外 报警 系统 。 

(6) 防 雷 接地 系统 。 电 源 防 雷 击 抗 浪 涌 保 护 、 等 电位 连接 、 静 电汇 放 等 ,接地 系统 。 
(7) 安防 系统 : 门禁 ,视频 。 

(8) 机 房 动力 环境 监控 系统 : 机 房 环境 监控 系统 。 


@.3 设备 安全 问题 与 策略 


设备 安全 技术 指 保障 构成 信息 网 络 的 各 种 设备 、 网 络 线路 ,供电 连接 、 各 种 媒体 数据 本 
身 以 及 其 存储 介质 等 安全 的 技术 ,主要 包括 设备 的 防盗 、 防 电磁 泄漏 、 防 电磁 干扰 等 ,是 对 可 
用 性 的 要 求 。 


3.3.1 设备 安全 问题 与 防范 
1. 设备 安全 问题 


这 里 的 设备 指 物 联网 系统 中 的 物理 设备 或 一 个 子 系统 ,不 是 指 小 的 元 器 件 。 它 是 指 由 
集成 电路 \ 品 体 管 .电子 管 等 电子 元 器 件 组 成 ,应 用 电子 技术 (包括 ) 软 件 发 挥 作用 的 设备 等 。 

物 联网 设备 的 安全 主要 是 设备 被 盗 . 设 备 被 干扰 ,设备 不 能 工作 .人 为 损坏 .设备 过 时 等 
问题 。 

(1) 设备 被 盗 。 很 多 电子 设备 价值 不 菲 , 这 会 导致 一 些 不 法 分 子 有 盗窃 的 动机 。 

(2) 设备 被 干扰 。 外 界 对 设备 的 干扰 很 多 ,前 面 已 经 介绍 。 

(3) 设备 不 能 工作 。 任 何 设备 都 有 坏 的 时 候 , 设 备 不 能 工作 也 很 正常 。 

(4) 人 为 损坏 。 这 种 情况 有 两 种 可 能 : 一 是 有 意 破坏 ,起 因 是 有 人 蓄意 破坏 设备 ,致使 
设备 不 能 工作 ; 二 是 工作 人 员 因 为 操作 失误 ,无 意识 地 导致 设备 的 损坏 。 

(5) 设备 过 时 。 电 子 设备 升级 很 快 ,尽管 设备 依然 可 以 使 用 ,但 是 因为 设备 已 经 过 时 ， 
已 经 无 法 胜任 新 的 工作 。 


2. 设备 安全 策略 


前 面 已 经 介绍 了 防盗 和 设备 抗 干扰 问题 。 设 备 不 能 工作 \ 人 为 损坏 .设备 过 时 等 问题 可 
采用 以 下 方法 : 

(1) 设备 改造 。 是 对 由 于 新 技术 出 现 , 在 经 济 上 不 宜 继续 使 用 的 设备 进行 局 部 的 更 新 ， 
即 对 设备 的 第 二 种 无 形 磨损 的 局 部 补偿 。 

(2) 设备 更 换 。 是 设备 更 新 的 重要 形式 ,分 为 原型 更 新 和 技术 更 新 。 原 型 更 新 即 简单 
更 新 ,用 结构 相同 的 新 设备 更 换 因 为 严重 有 形 磨损 而 在 技术 上 不 宜 继续 使 用 的 旧 设备 。 这 
种 更 换 主 要 解决 设备 的 损坏 问题 不 具有 技术 进步 的 性 质 。 

(3) 技术 更 新 。 用 技术 上 更 先进 的 设备 去 更 换 技术 陈旧 的 设备 。 它 不 仅 能 恢复 原 有 设 
备 的 性 能 ,而 且 使 设备 具有 更 先进 的 技术 水 平 ,具有 技术 进步 的 性 质 。 

(4) 备份 机 制 。 即 两 台 设 备 一 起 工作 。 也 称 为 双 工 , 指 两 台 或 多 台 服 务 器 均 为 活动 , 同 
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时 运行 相同 的 应 用 ,保证 整体 的 性 能 ,也 实现 了 负载 均衡 和 互 为 备份 。 双 机 双 工 模式 是 目前 
群集 的 一 种 形式 。 

(5) 监控 报警 。 监 控 报 警 是 安全 报警 与 设备 监控 的 有 效 融 合 。 监 控 报警 系统 包括 安全 
报警 和 设备 监控 两 个 部 分 。 当 设备 出 现 问题 时 ,监控 报警 系统 可 以 迅速 发 现 问题 ,并 及 时 通 
知 责任 人 进行 故障 处 理 。 


3.3.2 通信 线路 安全 
1. 线路 安全 威胁 


线路 物理 安全 是 指 为 保证 信息 系统 的 安全 可 靠 运行 ,降低 或 阻止 人 为 或 自然 因素 对 通 
信 线 路 的 安全 可 靠 运行 带 来 的 安全 风险 ,对 线路 所 采取 的 适当 安全 措施 。 

线路 的 物理 安全 按 不 同 的 方法 分 类 。 例 如 ,可 以 分 为 自然 安全 威胁 和 人 为 安全 威胁 ,也 
可 以 分 为 线路 端 和 线路 间 的 安全 威胁 ,还 可 以 分 为 被 破坏 程度 的 安全 威胁 。 

线路 的 物理 安全 风险 主要 有 地 震 、 水 灾 、 火 灾 等 自然 环境 事故 带 来 的 威胁 ; 线路 被 盗 、 
被 毁 .电磁 干扰 、 线 路 信息 被 截获 .电源 故障 等 人 为 操作 失误 或 错误 。 


2. 线路 安全 的 对 策 


通信 线路 的 物理 安全 是 网 络 系统 安全 的 前 提 。 由 于 通信 线路 属于 弱电 , 耐 压 值 很 低 。 
因此 ,在 其 设计 和 施工 中 必须 优先 考虑 保护 线路 和 端口 设备 不 受 水 灾 、 火 灾 、 强 电流 、 雷 击 的 
侵害 。 必 须 建设 防 雷 系统 , 防 雷 系统 不 仅 考虑 建筑 物 防 雷 , 还 必须 考虑 计算 机 及 其 他 弱电 耐 
压 设 备 的 防 雷 。 在 布线 时 要 考虑 可 能 的 火灾 隐患 ,线路 要 铺设 到 一 般 人 触摸 不 到 的 高 度 ,而 
且 要 加 装 外 保护 盒 或 线 槽 ,避免 线路 信息 被 窃听 。 要 与 照明 电线 、 动 力 电线 、 暖 气管 道 及 冷 
热 空气 管道 之 间 保 持 一 定 距离 ,避免 被 伤害 或 被 电磁 干扰 。 充 分 考虑 线路 的 绝缘 ,线路 的 接 
地 与 焊接 的 安全 。 线 路 端的 接口 部 分 要 加 强 外 部 保护 ,避免 信息 泄露 ,或 线路 被 损坏 。 


@.4 数据 存储 介质 的 安全 


本 节 将 介绍 数据 安全 的 威胁 和 数据 安全 的 核心 技术 。 


3.4.1 数据 安全 的 威胁 
1. 数据 安全 威胁 


硬件 故障 占 所 有 数据 意外 故障 一 半 以 上 , 常 有 雷击 ,高压 \ 高 温 等 造成 的 电路 故障 ,高 
温 .振动 碰撞 等 造成 的 机 械 故 障 , 高 温 、 振 动 碰撞 、 存 储 介 质 老 化 造成 的 物理 坏 磁道 扇 区 故 
障 , 当 然 还 有 意外 丢失 损坏 的 固件 BIOS 信息 等 。 威 胁 数 据 安全 的 因素 有 很 多 ,主要 有 以 下 
RO 

(1) 硬盘 驱动 器 损坏 。 一 个 硬盘 驱动 器 的 物理 损坏 意味 着 数据 丢失 。 设备 的 运行 损 
耗 、 存 储 介质 失效 、 运 行 环境 以 及 人 为 的 破坏 等 都 能 给 硬盘 驱动 器 设备 造成 影响 。 

(2) 光盘 损坏 。 因 为 光盘 表面 介质 的 质量 问题 ,或 人 为 划 伤 光盘 表面 ,或 光盘 被 压 破裂 
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等 都 会 使 光盘 损坏 数据 不 能 读 出 。 这 种 损坏 几乎 不 可 修复 。 

(3) U 盘 损坏 。 物 理 损坏 指 的 是 U 盘 受 到 外 界 破坏 。 例 如 外 这 破损 ,芯片 外 表 损坏 。 
如 是 外 过 损坏 ,芯片 没事 的 话 ,这 个 是 没有 问题 的 。 插 入 计算 机 还 是 会 显示 的 。 如 是 芯片 损 
坏 的 ,从 外 表 上 是 看 不 出 的 。 那 就 不 是 物理 损坏 ,而 是 彻底 损坏 。 

(4) 信息 窃取 。 从 电子 设备 上 非法 复制 信息 。 

(5) 自然 灾害 。 包 括 地 震 、 水 灾 、 火 灾 等 自然 灾难 。 

(6) 电源 故障 。 电 源 供给 系统 故障 ,一 个 瞬间 过 载 电 功率 会 损坏 在 硬盘 或 存储 设备 上 
的 数据 。 

(7) 磁 干 扰 。 磁 干扰 是 指 重要 的 数据 接触 到 有 磁性 的 物质 会 造成 数据 丢失 。 


2. 数据 安全 保护 


数据 安全 的 定义 是 为 数据 处 理 系统 建立 和 采用 的 技术 和 管理 的 安全 保护 ,保护 计算 机 
硬件 ,软件 和 数据 不 因 偶然 和 恶意 的 原因 遭 到 破坏 、 更 改 和 泄露 。 确 保 网 络 数据 的 可 用 性 、 

信息 存储 操作 在 生活 和 工作 中 越 来 越 多 ,也 越 来 越 重 要 。 为 防止 电子 设备 中 的 数据 意 
外 丢失 ,一般 都 采用 许多 重要 的 安全 防护 技术 来 确保 数据 的 安全 。 下 面 是 常用 的 数据 安全 
防护 技术 : 

(1) 磁盘 阵列 。 磁 盘 阵 列 是 指 把 多 个 类 型 容量 ,接口 甚至 品牌 一 致 的 专用 磁盘 或 普通 
硬盘 连 成 一 个 阵列 ,使 其 以 更 快 的 速度 、 准 确 、 安 全 的 方式 读 写 磁盘 数据 ,从 而 达到 数据 读 取 
速度 和 安全 性 的 一 种 手段 。 

(2) 数据 备份 。 备 份 管理 包括 备份 的 可 计划 性 ,自动 化 操作 ,历史 记录 的 保存 或 日 志 
记录 。 

(3) 双 机 容错 。 双 机 容错 的 目的 在 于 保证 系统 数据 和 服务 的 在 线性 , 即 当 某 一 系统 发 
生 故 障 时 ,仍然 能 够 正常 地 向 网 络 系统 提供 数据 和 服务 ,使 得 系统 不 至 于 停顿 , 双 机 容错 的 
目的 在 于 保证 数据 不 丢失 和 系统 不 停机 。 

(4) 网 络 存储 技术 NAS。NAS 解决 方案 通常 配置 为 作为 文件 服务 的 设备 ,由 工作 站 或 
服务 器 通过 网 络 协议 和 应 用 程序 进行 文件 访问 ,大 多 数 NAS 链接 在 工作 站 客户 端 和 NAS 
文件 共享 设备 之 间 进 行 。 

(5) 数据 迁移 。 由 在 线 存储 设备 和 离线 存储 设备 共同 构成 一 个 协调 工作 的 存储 系统 ， 
该 系统 在 在 线 存 储 和 离线 存储 设备 间 动 态 地 管理 数据 ,使 得 访问 频率 高 的 数据 存放 于 性 能 
较 高 的 在 线 存 储 设 备 中 ,而 访问 频率 低 的 数据 存放 于 较为 廉价 的 离线 存储 设备 中 。 

(6) 异地 容 灾 。 以 异地 实时 备份 为 基础 的 高 效 、 可 靠 的 远程 数据 存储 ,在 各 单位 的 IT 
系统 中 必然 有 核心 部 分 ,通常 称 为 生产 中 心 ,往往 给 生产 中 心 配 备 一 个 备份 中 心 ,该 备份 中 
心 是 远程 的 ,并 且 在 生产 中 心 的 内 部 已 经 实施 了 各 种 各 样 的 数据 保护 。 不 管 怎么 保护 , 当 火 
灾 、 地 震 这 种 灾难 发 生 时 ,一旦 生产 中 心 瘫 病 了 ,备份 中 心 会 接管 生产 ,继续 提供 服务 。 

(7) 存储 区 域 网 络 SAN。 它 是 一 个 集中 式 管理 的 高 速 存储 网 络 , 由 多 个 供应 商 存储 系 
统 、 存 储 管理 软件 ,应 用 程序 服务 器 和 网 络 硬件 组 成 SAN。SAN 允许 服务 器 在 共享 存储 装 
置 的 同时 仍 能 高 速 传送 数据 。 这 一 方案 具有 带宽 高 、 可 用 性 高 ,容错 能 力 强 的 优点 ,而 且 它 
可 以 轻松 升级 ,容易 管理 ,有 助 于 改善 整个 系统 的 总 体 成 本 状况 。 
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3.4.2 数据 安全 的 核心 技术 


数据 存储 安全 是 数据 安全 的 一 部 分 ,其 目的 是 防止 其 他 系统 未 经 授权 访问 数据 ,或 破坏 
数据 。 存 储 设备 有 能 力 防止 未 被 授权 的 设置 改动 ,对 所 有 的 更 改 都 要 做 审计 跟踪 。 数 据 存 
储 的 安全 目标 是 保护 机 密 的 数据 ,确保 数据 的 完整 性 ,防止 数据 被 破坏 或 丢失 。 未 来 存储 安 
全 的 核心 是 以 数据 恢复 为 主 , 兼 顾 数据 备份 .数据 擦 除 。 


1. 数据 恢复 


数据 恢复 只 是 一 种 技术 手段 ,将 保存 在 计算 机 、 笔 记 本 、 服 务 器 、 存 储 磁带 库 ,移动 硬盘 、 
U 盘 ,数码 存储 卡 和 MP3 等 设备 上 丢失 的 数据 进行 抢救 和 恢复 的 技术 。 有 具体 方法 有 : 

(1) 硬件 故障 的 数据 恢复 。 首 先是 诊断 ,找到 问题 点 ,修复 相应 的 硬件 故障 ,然后 进行 
数据 恢复 。 

(2) 磁盘 阵列 (RAID) 数 据 恢 复 。 首 先是 排除 硬件 故障 ,然后 分 析 阵 列 顺序 、 块 大 小 等 
参数 ,用 阵列 卡 或 阵列 软件 重组 , 按 常 规 方法 恢复 数据 。 

(3) U 盘 数据 恢复 。U 盘 、 优 盘 、XD 卡 、SD 卡 、CF 卡 .MEMORY STICK 、SM 卡 、 
MMC 卡 `.MP3、MP4、 记 忆 棒 、 数 码 相 机 、.DV、 微 硬盘 .光盘 和 软盘 等 各 类 存储 设备 数据 介质 
损坏 或 出 现 电路 板 故障 、 磁 头 偏 移 、 盘 片 划 伤 等 情况 下 ,采用 开 体 更 换 、 加 载 和 定位 等 方法 进 
行 数据 修复 。 

灾难 恢复 则 是 一 套 完整 的 数据 恢复 的 系统 方案 。 其 先决 条 件 是 要 做 好 备份 策略 及 恢复 
计划 。 日 常备 份 制度 描述 了 每 天 的 备份 以 什么 方式 、 使 用 什么 备份 介质 进行 ,是 系统 备份 方 
案 的 具体 实施 细则 ,在 制定 完毕 后 ,应 严格 按照 制度 进行 日 常备 份 ,否则 将 无 法 达到 备份 方 
案 的 目标 。 数 据 备份 有 多 种 方式 ,以 磁带 机 为 例 , 有 全 备份 增 量 备份 和 差分 备份 等 。 


2. 数据 备份 


1) 数据 丢失 的 问题 

2001 年 9 月 11 日 ,当世 界 贸易 中 心 大 楼 倒塌 而 灰飞烟灭 时 ,整个 大 楼 计算 机 系统 里 存 
储 的 大 量 信息 也 随 之 丢失 ,众多 公司 因此 而 无 法 开展 自己 业务 。2004 年 12 月 27 日 ,因为 
强烈 地 震 ,东南 亚 出 现 了 海 哺 ,受灾 严重 地 区 的 金融 \ 保 险 、 能 源 、 交 通 、 电 信 等 关乎 国计民生 
的 行业 的 信息 系统 几乎 陷入 瘫痪 ,大 量 信息 系统 的 数据 丢失 。 数 据 安 全 已 经 成 为 现实 而 又 
严峻 的 问题 。 当 今 的 信息 化 社会 ,计算 机 和 通信 技术 在 信息 的 收集 、 处 理 , 存 储 , 传 输 和 分 发 
中 扮演 着 极其 重要 的 角色 ,与 此 同时 ,如 何 有 效 保护 信息 系统 里 存储 的 信息 是 必须 面 对 的 一 
个 新 问题 。 

2) 数据 备份 的 概念 

在 这 种 情况 下 ,数据 备份 就 成 为 保证 信息 系统 安全 的 基础 设施 。 所 谓 数据 备份 就 是 将 
数据 以 某 种 方式 加 以 保留 ,以便 在 系统 遭受 破坏 或 其 他 特定 情况 下 重新 加 以 利用 的 一 个 过 
程 。 不 仅 在 于 保证 数据 的 一 致 性 和 完整 性 防范 意外 事件 的 破坏 消除 系统 使 用 者 和 操作 者 的 
后 顾 之 忧 ,而 且 还 是 历史 数据 保存 归档 的 最 佳 方式 ,换言之 ,即便 系统 正常 工作 而 没有 任何 
数据 丢失 或 破坏 发 生 ,备份 工作 仍然 具有 非常 大 的 意义 。 
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3) 数据 存储 管理 

网 络 数据 存储 管理 系统 是 指 在 分 布 式 网 络 环境 下 ,通过 专业 的 数据 存储 管理 软件 ,结合 
相应 的 硬件 和 存储 设备 ,对 全 网 络 的 数据 备份 进行 集中 管理 ,从 而 实现 自动 化 的 备份 ,文件 
归档 数据 分 级 存储 以 及 灾难 恢复 等 。 

为 在 整个 网 络 系 统 内 实现 全 自动 的 数据 存储 管理 ,备份 服务 器 、 备 份 管理 软件 与 智能 存 
储 设备 的 有 机 结合 是 这 一 目标 实现 的 基础 。 网 络 数据 存储 管理 系统 的 工作 原理 是 在 网 络 上 
选择 一 台 应 用 服务 器 作为 网 络 数据 存储 管理 服务 器 ,安装 网 络 数据 存储 管理 服务 器 端 软件 ， 
作为 整个 网 络 的 备份 服务 器 。 在 备份 服务 器 上 连接 一 台大 容量 存储 设备 (磁带 机 或 磁带 
库 )。 在 网 络 中 其 他 需要 进行 数据 备份 管理 的 服务 器 上 安装 备份 客户 端 软件 ,通过 局 域 网 将 
数据 集中 备份 管理 到 与 备份 服务 器 连接 的 存储 设备 上 。 网 络 数据 存储 管理 系统 的 核心 是 备 
份 管理 软件 ,通过 备份 软件 的 计划 功能 ,可 为 整个 部 门 建立 一 个 完善 的 备份 计划 及 策略 ,并 
可 借助 备份 时 的 呼叫 功能 ,让 所 有 的 服务 器 备份 都 能 在 同一 时 间 进 行 。 备 份 软件 也 提供 完 
善 的 灾难 恢复 手段 ,能够 将 备份 硬件 的 优良 特性 完全 发 挥 出 来 ,使 备份 和 灾难 恢复 时 间 大 大 
缩短 ,实现 网 络 数据 备份 的 全 自动 智能 化 管理 。 

4) 数据 备份 方案 

(D 全 备份 。 所 谓 全 备份 就 是 用 一 盘 磁 带 对 整个 系统 进行 完全 备份 ,包括 系统 和 数据 。 
这 种 备份 方式 的 好 处 就 是 很 直观 ,容易 被 人 理解 。 而 且 当 发 生 数据 丢失 的 灾难 时 ,只 要 用 一 
盘 磁 带 ( 即 灾难 发 生 之 前 一 天 的 备份 磁带 ) 就 可 以 恢复 丢失 的 数据 。 然 而 它 也 有 不 足 之 处 : 
首先 由 于 每 天 都 对 系统 进行 完全 备份 ,因此 在 备份 数据 中 有 大 量 是 重复 的 ,例如 操作 系统 与 
应 用 程序 。 这 些 重 复 的 数据 占用 了 大 量 的 磁带 空间 ,这 对 用 户 来 说 就 意味 着 增加 成 本 ; 其 
次 ,由 于 需要 备份 的 数据 量 相 当 大 ,因此 备份 所 需 时 间 较 长 。 对 于 那些 业务 繁忙 ,备份 窗口 
时 间 有 限 的 单位 来 说 ,选择 这 种 备份 策略 无 疑 是 不 明智 的 。 

(2) 增 通 备份 。 就 是 每 次 备份 的 数据 只 是 相当 于 上 一 次 备份 后 增加 的 和 修改 过 的 数 
据 。 这 种 备份 的 优点 很 明显 : 投 有 重复 的 备份 数据 , 既 节省 磁带 空间 ,又 缩短 了 备份 时 间 。 
但 它 的 缺点 在 于 当 发 生 灾难 时 ,恢复 数据 比较 麻烦 。 举 例 来 说 ,如 果 系 统 在 星期 四 的 早晨 发 
生 故 障 ,丢失 大 批 数据 ,那么 现在 就 需要 将 系统 恢复 到 星期 三 晚上 的 状态 。 这 时 管理 员 需 要 
首先 找 出 星期 一 的 那 盘 完 全 备份 磁带 进行 系统 恢复 ,然后 再 找 出 星期 二 的 磁带 来 恢复 星期 
二 的 数据 ,最 后 再 找 出 星期 三 的 磁带 来 恢复 星期 三 的 数据 。 很 明显 这 比 第 一 种 策略 要 麻烦 
得 多 。 另 外 ,这 种 备份 可 靠 性 也 差 。 在 这 种 备份 下 ,各 磁带 间 的 关系 就 像 链 子 一 样 ,一 环 套 
一 环 ,其 中 任何 一 盘 磁带 出 了 问题 都 会 导致 整 条 链子 脱节 。 

(3) 差分 备份 。 就 是 每 次 备份 的 数据 是 相对 于 上 一 次 全 备份 之 后 新 增加 的 和 修改 过 的 
数据 。 管 理 员 先 在 星期 一 进行 一 次 系统 完全 备份 ; 然后 在 接 下 来 的 几 天 里 ,管理 员 再 将 当 
天 所 有 与 星期 一 不 同 的 数据 (新 的 或 经 改动 的 ) 备 份 到 磁带 上 。 举 例 来 说 ,星期 一 ,网 络 管理 
员 按 惯例 进行 系统 完全 备份 ; 星期 二 ,假设 系统 内 只 多 了 一 个 资产 清单 ,于 是 管理 员 只 需 将 
这 份 资 产 清单 一 并 备份 下 来 即 可 ; 星期 三 ,系统 内 又 多 了 一 份 产 品目 录 , 于 是 管理 员 不 仅 要 
将 这 份 目录 ,还 要 连同 星期 二 的 那 份 资产 清单 一 并 备份 下 来 。 

由 此 可 以 看 出 ,全 备份 所 需 时 间 最 长 ,但 恢复 时 间 最 短 ,操作 最 方便 , 当 系 统 中 数据 量 不 
大 时 ,采用 全 备份 最 可 靠 ; 差分 备份 在 避免 了 另外 两 种 策略 缺陷 的 同时 ,又 具有 了 它们 的 所 
有 优点 。 首 先 , 它 无 须 每 天 都 做 系统 完全 备份 ,因此 备份 所 需 时 间 短 ,并 节省 磁带 空间 ; 其 
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次 , 它 的 灾难 恢复 也 很 方便 ,系统 管理 员 只 需 两 盘 磁 带 , 即 星 期 一 的 磁带 与 发 生前 一 天 的 磁 
带 就 可 以 将 系统 完全 恢复 。 在 备份 时 要 根据 它们 各 自 的 特点 灵活 使 用 。 


3. 数据 擦 除 


近年 来 , 企 事业 单位 在 享受 数据 中 心 带 来 巨大 生产 力 的 同时 ,其 内 在 的 数据 中 心安 全 漏 
洞 也 让 人 担忧 , 越 来 越 多 的 企 事 业 单位 投入 大 量 资金 着 手数 据 中 心安 全 建设 。 数 据 泄 密 事 
件 的 频繁 发 生 更 让 企业 数据 中 心安 全 笼 单 在 阴影 中 ,而 对 涉 密 数据 进行 硬盘 数据 擦 除 , 以 达 
到 硬盘 数据 销毁 ,成 为 当下 保障 数据 中 心安 全 的 有 效 方式 之 一 。 

硬盘 数据 擦 除 技术 旨 在 通过 相关 的 硬盘 数据 擦 除 技 术 及 硬盘 数据 擦 除 工 具 将 硬盘 上 的 
数据 彻底 删除 ,无 法 恢复 。 

另外 ,目前 市 面 上 已 经 出 现 了 很 多 复制 擦 除 检测 一 体 机 品牌 产品 ,它们 可 以 快速 擦 除 硬 
盘 上 的 数据 。 硬 盘 数 据 销毁 速度 达 7G/ 分 钟 ,符合 7 次 安全 硬盘 数据 擦 除 国际 标准 。 硬 盘 
被 执行 全 盘 写 零 擦 除 后 ,目前 全 球 无 任何 专业 数据 恢复 公司 有 能 力 再 恢复 出 数据 ,有 效 确保 
企业 数据 中 心安 全 。 


个 题 3 


1. 名 词 解释 

(1) 物 理 安全 ; (2) 设 备 安全 技术 ; (3) 数 据 安 全 ; (4) 硬 盘 数 据 擦 除 技术 。 

2. 判断 题 

(1) 物理 安全 是 以 一 定 的 方式 运行 在 一 些 软 件 之 上 的 ,保障 物理 设备 安全 的 第 一 道 防 
线 。( ) 

(2) 物理 环境 安全 是 物理 安全 的 最 基本 保障 ,是 整个 安全 系统 不 可 缺少 和 忽视 的 组 成 
部 分 。( ) 

3. 填空 题 

(1) 干扰 的 形成 包括 三 个 要 素 : 和 

(2) 机 房 的 物理 环境 受到 了 严格 的 控制 ,主要 分 为 


(3) 威胁 数据 安全 的 主要 因素 有 很 多 ,主要 包括 
4. 简 答 题 

(1) 数据 采集 外 界 抗 干扰 措施 有 哪些 ? 

(2) 设备 安全 策略 有 哪些 ? 

(3) 常用 的 数据 安全 防护 技术 有 哪些 ? 

(4) 简单 介绍 数据 恢复 的 方法 。 

5. 论述 题 

国内 外 物理 安全 技术 相关 标准 有 哪些 ? 
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本 章 将 介绍 防火 墙 技 术 . 人 侵 检测 技术 、 访 问 控制 技术 `VPN 技术 、 计 算 机 病毒 及 防治 
和 黑客 攻击 与 防范 。 要 求学 生 掌握 网 络 安全 的 相关 技术 。 


人 1 防火 墙 技术 


本 节 将 介绍 防火 墙 的 基本 概念 、 包 过 滤 防 火 墙 和 应 用 层 网 关 。 


4.1.1 防火 墙 概述 
1. 防火 墙 名 称 起 源 


防火 墙 的 本 义 是 指 古 代 构 筑 和 使 用 木质 结构 房屋 的 时 候 ,为 防止 火灾 的 发 生 和 蔓延 ,人 
们 将 坚固 的 石 块 堆 砌 在 房屋 周围 作为 屏障 ,这 种 防护 构筑 物 就 被 称 为 "防火墙 ?>。 其 实 与 防 
火 墙 一 起 起 作用 的 就 是 " 门 >。 如 果 没 有 门 , 各 房间 的 人 如 何 沟通 呢 ? 这 些 房间 的 人 又 如 何 
进去 呢 ? 当 火灾 发 生 时 ,这 些 人 又 如 何 逃 离 现 场 呢 ? 这 个 门 相当 于 防火 墙 的 安全 策略 ”, 所 
以 在 此 所 说 的 防火 墙 实际 并 不 是 一 堵 实 心 墙 ,而 是 带 有 一 些小 孔 的 墙 。 这 些小 孔 就 是 用 来 
留 给 那些 允许 进行 的 通信 ,在 这 些小 孔 中 安装 了 过 滤 机 制 ,也 就 是 “ 单 向 导 通 性 ”。 

防火 墙 是 一 道门 槛 ,控制 进 /出 两 个 方向 的 通信 ,主要 用 来 保护 安全 网 络 免 受 来 自 不 安 
全 网 络 的 入 侵 , 如 安全 网 络 可 能 是 企业 的 内 部 网 络 ,不 安全 网 络 是 因特网 。 当 然 , 防 火 墙 不 
只 是 用 于 某 个 网 络 与 因特网 的 隔离 ,也 可 用 于 企业 内 部 网 络 中 的 部 门 网 络 之 间 的 隔离 。 网 
络 防火 墙 是 隔离 本 地 网 络 与 外 界 网 络 之 间 的 一 道 防 御 系 统 。 防 火 可 以 使 局 域 网 与 Internet 
之 间或 者 与 其 他 外 部 网 络 互相 隔离 .限制 网 络 互 访 , 用 来 保护 内 部 网 络 。 


2. 防火 墙 的 定义 


防火 墙 (Firewall) 是 一 项 协助 确保 信息 安全 的 设备 ,会 依照 特定 的 规则 ,允许 或 是 限制 
传输 的 数据 通过 。 防 火 墙 可 以 是 一 台 专 属 的 硬件 ,也 可 以 是 架设 在 一 般 硬 件 上 的 一 套 软 件 。 
防火 墙 是 一 种 位 于 内 部 网 络 与 外 部 网 络 之 间 的 网 络 安全 系统 ,如 图 4-1 所 示 。 

在 网 络 中 ,防火 墙 是 指 一 种 将 内 部 网 和 公众 访问 网 (如 Internet) 分 开 的 方法 , 它 实 际 上 
是 一 种 隔离 技术 。 防 火 墙 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 尺度 ,允许 合法 用 户 和 
数据 进入 网 络 , 同 时 将 非法 用 户 和 数据 拒 之 门 外 , 最 大 限度 地 阻止 网 络 中 的 黑客 访问 网 络 。 

防火 墙 技 术 是 保护 网 络 不 受 侵犯 的 最 主要 技术 之 一 。 防 火 墙 一 般 位 于 网 络 的 边界 上 ， 
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DMZ 隔 离 区 网 


BC 忌 


外 网 
4-1 防火 墙 


按照 一 定 的 安全 策略 ,对 两 个 或 多 个 网 络 之 间 的 数据 包 和 连接 方式 进行 检查 来 决定 对 网 络 
之 间 的 通信 采取 何 种 动作 ,如 人 允许、 拒绝 ,或 者 转换 。 其 中 被 保护 的 网 络 通常 称 为 内 部 网 络 ， 
其 他 网 络 称 为 外 部 网 络 。 使 用 防火 墙 ,可 以 有 效 控制 内 部 网 络 和 外 部 网 络 之 间 的 访问 和 数 
据 传输 ,防止 外 部 网 络 用户 以 非法 手段 通过 外 部 网 络 进入 内 部 网 络 访问 内 部 网 络 资源 ,并 过 
滤 不 良 信息 。 安 全 ,管理 和 效率 是 对 防火 墙 功能 的 主要 要 求 。 防 火 墙 能 有 效 地 监控 内 部 网 
和 Internet 之 间 的 任何 活动 ,保证 内 部 网 的 安全 ,以 此 来 实现 网 络 的 安全 保护 。 

理论 上 ,防火墙 用 来 防止 外 部 网 上 的 各 类 危险 传播 到 某 个 受 保护 网 内 。 逻 辑 上 ,防火墙 
是 分 离 器 、 限 制 器 和 分 析 器 ; 物理 上 ,各 个 防火 墙 的 物理 实现 方式 可 以 有 所 不 同 ,但 它 通常 
是 一 组 硬件 设备 (路 由 器 主机 ) 和 软件 的 多 种 组 合 ; 本 质 上 ,防火墙 是 一 种 保护 装置 ,用 来 
保护 网 络 数 据 、 资 源 和 用 户 的 声誉 ; 技术 上 ,网 络 防火 墙 是 一 种 访问 控制 技术 ,在 某 个 机 构 
的 网 络 和 不 安全 的 网 络 之 间 设 置 障碍 ,阻止 对 信息 资源 的 非法 访问 。 


3. 防火 墙 的 种 类 


从 历史 上 来 分 ,防火 墙 经 历 了 4 个 阶段 : 基于 路 由 器 的 防火 墙 , 用 户 化 的 防火 墙 工具 
套 、 建 立 在 通用 操作 系统 上 的 防火 墙 . 具 有 安全 操作 系统 的 防火 墙 。 

从 结构 上 来 分 ,防火 墙 有 两 种 ,代理 主机 结构 和 路 由 器 加 过 滤器 结构 。 

从 原理 上 来 分 ,防火 墙 可 以 分 成 4 种 类 型 ,特殊 设计 的 硬件 防火 墙 .数据 包 过 滤 型 .电路 
层 网 关 和 应 用 级 网 关 。 

从 侧重 点 不 同 ,可 分 为 包 过 滤 型 防火 墙 ,应 用 层 网 关 型 防火 墙 、. 服 务 器 型 防火 墙 。 


4. 防火 墙 的 吞吐 量 


网 络 中 的 数据 是 由 一 个 个 数据 包 组 成 ,吞吐 量 是 指 在 没有 帧 丢失 的 情况 下 ,设备 能 够 接 
收 的 最 大 速率 。 其 测试 方法 是 : 在 测试 中 以 一 定 速率 发 送 一 定数 量 的 帧 ,并 计算 待 测 设备 
传输 的 帧 ,如果 发 送 的 帧 与 接收 的 帧 数量 相等 ,那么 就 将 发 送 速 率 提 高 并 重新 测试 ; 如 果 接 
收 帧 少 于 发 送 帧 , 则 降低 发 送 速率 重新 测试 ,直至 得 出 最 终结 果 。 和 吞吐 量 测试 结果 以 位 / 秒 
或 字 节 /秒表 示 。 防 火 墙 对 每 个 数据 包 的 处 理 要 耗费 资源 。 吞 吐 量 和 报 文 转发 率 是 关系 防 
火 墙 应 用 的 主要 指标 ,一 般 采 用 FDT(Full Duplex Throughput) 来 衡量 , 指 64 字 节 数据 包 
的 全 双 工 吞吐 量 。 该 指标 既 包括 吞吐 量 指标 ,也 涵盖 了 报 文 转 发 率 指标 。 


5. 防火 墙 的 基本 特性 


(1) 内 外 网 络 之 间 的 数据 流 都 必须 经 过 防火 墙 。 防 火 墙 适用 于 用 户 网 络 系统 的 边界 ， 
属于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边界 即 是 采用 不 同安 全 策略 的 两 个 网 络 连接 
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处 ,如 用 户 网 络 和 互联 网 之 间 连 接 . 和 其 他 业务 往来 单位 的 网 络 连接 ,用户 内 部 网 络 不 同 部 
门 之 间 的 连接 等 。 防 火 墙 的 目的 就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ,通过 允许 ,拒绝 
或 重新 定向 经 过 防火 墙 的 数据 流 , 实 现 对 进 、 出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 

(2) 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 。 防 火 墙 最 基本 的 功能 是 确保 网 络 流量 的 
合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 的 从 一 条 链 路 转发 到 另外 的 链 路 上 。 原 始 的 防火 
墙 是 一 人 台 “ 双 穴 主 机 ”, 即 具备 两 个 网 络 接口 ,同时 拥有 两 个 网 络 层 地 址 。 防 火 墙 将 网 络 上 的 
流量 通过 相应 的 网 络 接口 接收 上 来 ,按照 OSI 协议 栈 的 七 层 结构 顺序 上 传 ,在 适当 的 协议 
层 进 行 访问 规则 和 安全 审查 ,然后 将 符合 通过 条 件 的 报 文 从 相应 的 网 络 接口 送出 ,而 对 于 那 
些 不 符合 通过 条 件 的 报 文 则 了 予以 阻 断 。 防 火 墙 是 一 个 类 似 于 桥接 或 路 由 器 的 、 多 端口 的 (网 
络 接 口 宇 2) 转 发 设备 , 它 跨 接 于 多 个 分 离 的 物理 网 段 之 间 , 并 在 报 文 转发 过 程 中 完成 对 报 文 
的 审查 工作 。 

(3) 防火 墙 应 具有 和 较 强 的 抗 攻击 免疫 力 。 防 火 墙 处 于 网 络 边 缘 , 像 边界 卫士 ,每 时 每 刻 
要 面 对 黑 客 的 人 侵 ,这 要 求 防火 墙 自身 要 具有 非常 强 的 抗击 人 侵 本 领 。 只 有 具备 完整 信任 
关系 的 操作 系统 才 可 保障 系统 的 安全 性 。 


6. 防火 墙 硬 件 架 构 


防火 墙 硬件 体系 结构 经 历 过 通用 CPU 架构 ASIC 架构 和 网 络 处 理 器 架构 ,其 特点 
如 下 : 

1) 通用 CPU 架构 

通用 CPU 架构 最 常见 的 是 基于 Intel X86 架构 的 防火 墙 , 在 百 兆 防火 墙 中 Intel X86 架 
构 的 硬件 以 其 高 灵活 性 和 扩展 性 一 直 受 到 防火 墙 厂 商 的 青睐 。 由 于 采用 了 PCI 总 线 接口 ， 
Intel X86 架构 的 硬件 虽然 理论 上 能 达到 2Gbps 的 吞吐 量 甚至 更 高 ,但 是 在 实际 应 用 中 ,万 
其 是 在 小 包 情 况 下 , 远 远 达 不 到 标 称 性 能 ,通用 CPU 的 处 理 能 力也 很 有 限 。 

2) ASIC 架构 

ASIC( 专 用 集成 电路 ) 技 术 是 国外 高 端 网 络 设 备 几 年 前 广泛 采用 的 技术 。 由 于 采用 了 
硬件 转发 模式 .多 总 线 技术 .数据 层面 与 控制 层面 分 离 等 技术 ,ASIC 架构 防火 墙 解 决 了 带 
宽容 量 和 性 能 不 足 的 问题 ,稳定 性 也 得 到 了 很 好 的 保证 。ASIC 技术 的 性 能 优势 主要 体现 
在 网 络 层 转发 上 ,而 对 于 需要 强大 计算 能 力 的 应 用 层 数据 的 处 理 则 不 占 优势 ,而 且 面 对 频繁 
变异 的 应 用 安全 问题 ,其 灵活 性 和 扩展 性 也 难以 满足 要 求 。 

3) 网 络 处 理 器 架构 

由 于 网 络 处理 器 所 使 用 的 微 码 编写 有 一 定 技术 难度 ,难以 实现 产品 的 最 优 性 能 ,因此 网 
络 处 理 器 架构 的 防火 墙 产品 难以 占有 大 量 的 市 场 份额 。 


7. 防火 墙 配置 


防火 墙 配置 有 三 种 : Dual-homed 方式 .Screened-host 方式 和 Screened-subnet 方式 。 

(1) Dual-homed 方式 。Dual-homed Gateway 放置 在 两 个 网 络 之 间 , 被 称 为 Bastion 
host。 这 种 结构 最 简单 ,成 本 低 .但 是 它 有 单 点 失败 的 问题 ,没有 增加 网 络 安全 的 自我 防卫 
能 力 。 它 是 黑客 攻击 的 首选 目标 ,一 旦 被 攻破 ,整个 网 络 也 就 暴露 了 。 

(2) Screened-host 方式 。 其 中 的 Screening router 为 保护 Bastion host 的 安全 建立 了 
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一 道 屏障 。 它 将 所 有 进入 的 信息 先 送 往 Bastion host, 并 且 只 接收 来 自 Bastion host 的 数据 
作为 出 去 的 数据 。 这 种 结构 依赖 Screening router 和 Bastion host, 只 要 有 一 个 失败 ,整个 网 
络 就 暴露 了 。 

(3) Screened-subnet 方式 。 它 包含 两 个 Screening router 和 两 个 Bastion host。 在 公共 
网 络 和 私有 网 络 之 间 构 成 了 一 个 隔离 网 , 称 为 “隔离 区 ”(Demilitarized Zone,DMZ) , Bastion 
host 放置 在 “隔离 区 ”内 。 这 种 结构 安全 性 好 ,只 有 当 两 个 安全 单元 被 破坏 后 ,网 络 才 被 暴 
露 , 但 成 本 昂贵 。 


8. 防火 墙 历史 


第 一 代 防 火 墙 : 采用 包 过 滤 (Packet Filter) 技 术 。 

第 二 代 防 火 墙 : 电路 层 防 火 墙 ,1989 年 由 贝尔 实验 室 推出 。 

第 三 代 防 火 墙 : 应 用 层 防火 墙 (代理 防火 墙 ) 。 

第 四 代 防 火 墙 1992 年 USC 信息 科学 院 的 Bob Braden 开发 出 了 基于 动态 包 过 滤 
(Dynamic Packet Filter) 技 术 . 后 来 演变 为 状态 监视 (Stateful Inspection) 技 术 。 

第 五 代 防 火 墙 : 1998 年 NAI 公司 推出 了 一 种 自 适应 代理 (Adaptive Proxy) 技 术 , 并 在 
其 产品 中 实现 。 

第 六 代 防 火 墙 : 一 体 化 安全 网 关 UTM ,也 称 统一 威胁 管理 ,是 在 防火 墙 基 础 上 发 展 起 
来 的 ,具备 防火 墙 .IPS、 防 病毒 、 防 垃圾 邮件 等 综合 功能 的 设备 。 


9. 防火 墙 的 工作 原理 


防火 墙 就 是 一 种 过 滤 塞 。 防 火 墙 的 工作 方式 都 是 一 样 的 : 分 析出 入 防火 墙 的 数据 包 ， 
决定 放行 还 是 把 它们 扔 到 一 边 。 所 有 的 防火 墙 都 具有 IP 地 址 过 滤 功能 。 这 项 任务 要 检查 
IP 包头 ,根据 其 IP 源 地 址 和 目标 地 址 做 出 放行 /丢弃 决定 ,如 图 4-2 所 示 。 


IP 
NN ae 二 
多 一 -一 | Tc || 三: 三 | 只 检 址 报关 
四 开始 攻击 
建立 连接 状态 表 


图 4-2 防火墙 的 工作 原理 


4.1.2 包 过 滤 防 火 墙 


尽管 防火 墙 的 发 展 经 过 了 几 代 ,但 是 按照 防火 墙 对 内 外 来 往 数 据 的 处 理 方法 ,大 致 可 以 
将 防火 墙 分 为 两 大 体系 : 包 过 滤 防 火 墙 和 代理 防火 墙 (应 用 层 网 关 防 火 墙 )。 包 过 滤 防 火 墙 
工作 在 网 络 层 ,一 般 是 具有 多 个 端口 的 路 由 器 (屏蔽 路 由 器 ), 它 对 每 个 进入 的 卫 数据 包 应 
用 一 组 规则 集合 来 判断 该 数据 包 是 否 应 该 转发 。 数 据 包 过 滤 技 术 是 以 数据 包头 为 基础 , 按 
照 路 由 器 配置 中 的 一 组 规则 将 数据 包 分 类 ,然后 在 网 络 层 对 数据 包 进行 选择 ,选择 的 依据 是 
系统 内 设置 的 过 滤 逻 辑 ( 称 为 访问 控制 列表 )。 访 问 控制 列表 (ACL) 制 定 某 种 类 型 的 数据 
包 是 被 转发 还 是 被 丢弃 ,如 图 4-3 所 示 。 
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建立 状态 连接 表 
4 

重组 数据 报 文 段 重 

Wt 


IP 包 头 | TCP 头 | 应 用 层 数 据 | 报 文 1 


IP 包 头 | TCP 头 | 应 用 层 数 据 | 报 文 2 


4-3 包 过 滤 防 火 墙 


1. 数据 包 过 滤 


数据 包 过 滤 是 针对 数据 包 的 包头 信息 来 进行 的 ,每 个 数据 包 内 都 有 包含 特定 信息 的 一 
组 包头 ,其 主要 信息 有 IP 源 地 址 ; IP 目标 地 址 ; 封装 的 协议 类 型 (TCP、UDP 和 ICMP 
等 ); TCP 或 UDP 源 端口 。TCP 或 UDP 目标 端口 。ICMP 消息 类 型 在 数据 包 过 滤 技术 
中 ,过 滤 匹配 的 原则 除 上 述 包 头 信息 外 ,还 可 以 根据 TCP 序列 号 ,TCP 连接 的 握手 序列 (如 
SYN、ACK) 的 逻辑 分 析 进 行 判 断 ,较为 有 效 地 抵御 类 似 IP Spoofing、SYN Spoofing 等 类 型 
的 攻击 。 具 体 来 说 ,路 由 器 审查 每 个 数据 包 以 便 确 定 其 是 否 与 某 一 天 包 过 滤 规 则 匹配 。 过 
滤 规 则 基于 可 以 提供 给 IP 转发 过 程 的 包头 信息 。 包 的 进入 接口 和 出 接口 如 果 有 匹配 并 且 
规则 允许 该 数据 包 ,那么 该 数据 包 就 会 按照 路 由 表 的 信息 被 转发 。 如 果 匹 配 并 且 规 则 拒绝 
该 数据 包 ,那么 该 数据 包 就 会 被 丢弃 。 如 果 没 有 匹配 原则 ,用户 配置 的 默认 参数 就 会 决定 是 
转发 还 是 丢弃 数据 包 。 这 种 类 型 的 防火 墙根 据 定 义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 便 确 
定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 包 过 滤 类 型 的 防火 墙 要 遵循 的 一 条 基本 原则 是 “最 小 
特权 原则 ”, 即 明确 允许 那些 管理 员 希 望 通过 的 数据 包 ,禁止 其 他 的 数据 包 。 


2. 过 滤 规 则 设计 


为 完成 数据 包 过 滤 , 需 设计 一 套 过 滤 规 则 以 规定 什么 类 型 的 数据 包 被 转发 或 被 丢弃 。 
设计 过 滤 规则 的 时 候 , 应 注意 以 下 三 个 概念 。 

(1) 全 连接 (Full Association) : 描述 了 一 个 TCP 连接 的 完整 信息 , 它 可 由 一 个 五 元 组 
来 定义 (协议 类 型 . 源 IP 地 址 、 源 TCP/UDP 端口 .目的 IP 地 址 .目的 TCP/UDP 端口 ); 

(2) 半 连 接 (Half Association) : 描述 了 连接 的 一 端的 信息 , 它 可 由 一 个 三 元 组 来 定义 
(协议 类 型 .IP 地 址 、TCP/UDP 端口 ); 

(3) 端点 (Endpoints): 也 称 为 传输 地 址 , 它 可 由 一 个 二 元 组 来 定义 ( 源 IP 地 址 、 源 
TCP/UDP 端口 ) 。 

通过 以 上 三 个 定义 不 难看 出 ,过 滤 规 则 的 设计 主要 依赖 于 数据 包 所 提供 的 包头 信息 。 
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根据 包头 信息 ,可 以 按 IP 地 址 过 滤 ,可 以 按 封 装 的 协议 类 型 过 滤 ,也 可 以 按 端口 号 过 滤 , 甚 
至 可 以 按 SYN/ACK 信号 进行 过 滤 。 当 然 , 也 可 以 将 上 述 几 种 方式 组 合 起 来 制定 过 滤 规 
则 。 数 据 包 过 滤 规 则 具体 体现 在 访问 控制 列表 的 内 容 上 。 访 问 控制 列表 定义 了 各 种 规则 来 
表明 是 否 同 意 或 拒绝 包 的 通过 。 


3. 对 包 过 滤 防 火 墙 的 评价 


包 过 滤 路 由 器 分 组 过 滤 简 单方 便 ,对 用 户 透 明 ,不 需要 用 户 认证 ,易于 安装 管理 ,由 于 工 
作 在 全 层 和 TCP/UDP 层 , 且 不 必 对 所 有 信息 进行 审计 和 跟踪 ,因此 速度 快 。 但 正 因为 其 
没有 日 志和 审计 功能 ,所 以 有 很 多 信息 不 能 提供 ,使 得 管理 员 不 易 对 事件 进行 跟踪 检查 ,有 
可 能 受到 欺骗 性 攻击 。 


4.1.3 应 用 层 网 关 


应 用 层 网 关 (Application Layer Gateway Service,ALG) 也 叫 应 用 层 防 火 墙 或 应 用 层 代 
理 防 火 墙 , 通 常 被 描述 为 第 三 代 防 火 墙 。 当 受信 任 网 络 上 的 用 户 打算 连接 到 不 受信 任 网 络 
(如 Internet) 上 的 服务 时 ,该 应 用 被 引导 至 防火 墙 中 的 代理 服务 器 。 代 理 服务 器 可 以 毫 无 
破绽 地 伪装 成 Internet 上 的 真实 服务 器 。 它 可 以 对 请 求 进行 评估 ,并 根据 一 套 单个 网 络 服 
务 的 规则 决定 允许 或 拒绝 该 请 求 , 如 图 4-4 所 示 。 


外 部 


主机 | 外 部 链接 | | Telnet | | 内 部 链接 
FTP 


内 部 
主机 


SMTP 
Http 


图 4-4 应 用 层 网 关 


ALG 是 网 络 防火 墙 从 功能 面 上 分 类 的 一 种 。 当 内 部 计算 机 与 外 部 主机 连接 时 ,将 
由 代理 服务 器 (Proxy Server) 担 任 内 部 计算 机 与 外 部 主机 的 连接 中 继 者 。 使 用 ALG 的 
好 处 是 隐藏 内 部 主机 的 地 址 和 防止 外 部 不 正常 的 连接 ,如 果 代 理 服务 器 上 未 安装 针对 
该 应 用 程序 设计 的 代理 程序 时 ,任何 属于 这 个 网 络 服务 的 封包 将 完全 无 法 通过 防火 
墙 。 具体 到 ALG 本 身 , 它 是 WinXP 附带 的 Internet 连接 共享 /防火 墙 的 具体 控 管 程 
序 ,如 果 需 要 启用 这 两 者 ,这 个 服务 是 必 备 的 。 当 然 , 只 有 一 台 计 算 机 的 上 网 家 庭 可 以 
考虑 禁用 这 个 服务 。 

应 用 层 网 关 人 允许 网 络 管理 员 实施 一 个 比 包 过 滤 路 由 器 更 为 严格 的 安全 策略 ,为 每 
一 个 期 望 的 应 用 服务 在 其 网 关上 安装 专用 的 代码 ,同时 代理 代码 也 可 以 配置 成 支持 一 
个 应 用 服务 的 某 些 特定 的 特性 。 对 应 用 服务 的 访问 都 是 通过 访问 相应 的 代理 服务 实 
现 的 ,而 不 允许 用 户 直接 登录 到 应 用 层 网 关 。 应 用 层 网 关 安全 性 的 提高 是 以 购买 相关 
硬件 平台 的 费用 为 代价 ,网 关 的 配置 将 降低 对 用 户 的 服务 水 平 ,但 增加 了 安全 配置 上 
的 灵活 性 。 
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人 2 入 侵 检测 技术 


本 节 将 介绍 人 侵 检测 的 基本 概念 分类、 入 侵 检测 系统 和 入 侵 检 测 的 步 又 。 


4.2.1 入 侵 检测 概述 
1. 入 侵 检 测定 义 


入 侵 检测 (Intrusion Detection) 是 对 入 侵 行 为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 、 安 
全 日 志 , 审 计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ,检查 
网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 

入 侵 检测 作为 一 种 积极 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 人 侵 ,因此 被 认为 是 防火 墙 之 后 的 第 二 道 安 
全 闸门 ,在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 。 入 侵 检 测 通过 执行 以 下 任务 来 实 
现 : 监视 .分 析 用 户 及 系统 活动 ; 系统 构造 和 弱点 的 审计 ; 识别 反映 已 知 进攻 的 活动 模式 并 
向 相关 人 士 报警 ; 异常 行为 模式 的 统计 分 析 ; 评估 重要 系统 和 数据 文件 的 完整 性 ; 操作 系 
统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 ,如 图 4-5 所 示 。 

入 侵 检测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安全 管理 
能 力 (包括 安全 审计 ,监视 .进攻 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 它 从 计 
算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信 息 ,看 看 网 络 中 是 否 有 违反 安全 策略 
的 行为 和 唱 到 袭击 的 迹象 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 曾 门 ,在 不 影响 
网 络 性 能 的 情况 下 能 对 网 络 进 行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 
保护 。 这 些 都 通过 它 执 行 以 下 任务 来 实现 : 监视 、 分 析 用 户 及 系统 活动 ; 系统 构造 和 弱 
点 的 审计 ; 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 ; 异常 行为 模式 的 统计 分 
析 ; 评估 重要 系统 和 数据 文件 的 完整 性 ; 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违 反 安 
全 策略 的 行为 。 


当前 系统 
/用 户 行为 


1 
安全 策略 “「 入侵 检测 
一 | 分析 引 党 
否 
< > 数据 提取 


记录 证 据 


响应 处 理 


4-5 人 侵 检测 原理 
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对 一 个 成 功 的 入侵 检测 系统 来 讲 , 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程序 、 
文件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制订 提供 指南 。 更 为 重要 的 一 点 
是 , 它 应 该 管理 ,配置 简单 ,从 而 使 非 专业 人 员 非 常 容易 地 获得 网 络 安全 。 而 且 , 入 侵 检 测 的 
规模 还 应 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 。 人 和 人 侵 检测 系统 在 发 现 人 侵 后 ， 
会 及 时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 

入 侵 检测 系统 是 指 对 于 面向 计算 资源 和 网 络 资源 的 恶意 行为 的 识别 和 响应 系统 。 一 个 
完善 的 IDS 系统 应 该 具备 : 经 济 性 、 时 效 性 .安全 性 和 可 扩展 性 。 入 侵 检测 作为 安全 技术 ， 
其 作用 在 于 识别 人 侵 者 ; 识别 人 侵 行为 ; 检测 和 监视 已 成 功 的 安全 破绽 ; 为 对 抗 人 侵 及 时 
提供 重要 信息 ,阻止 事件 的 发 生 和 事态 的 扩大 。 

入侵 检测 系统 可 以 对 计算 机 网 络 进行 自主 的 .实时 的 攻击 检测 与 响应 。 它 对 网 络 安全 
轮回 监控 ,使 用 户 可 以 在 系统 被 破坏 之 前 自主 地 中 断 并 响应 安全 漏洞 和 误 操作 。 实 时 监控 
分 析 可 疑 的 数据 而 不 会 影响 数据 在 网 络 上 的 传输 。 它 对 安全 威胁 的 自动 响应 为 企业 提供 了 
最 大 限度 的 安全 保障 。 在 检测 到 网 络 人 侵 后 ,除了 可 以 及 时 切断 攻击 行为 之 外 ,还 可 以 动态 
地 调整 防火 墙 的 防护 策略 ,使 得 防火 墙 成 为 一 个 动态 的 智能 的 防护 体系 。 和 人 侵 检 测 具 有 监 
视 分 析 用 户 和 系统 的 行为 .审计 系统 配置 和 漏洞 .评估 敏感 系统 和 数据 的 完整 性 ,识别 攻击 
行为 、 对 异常 行为 进行 统计 ,自动 地 收集 和 系统 相关 的 补丁 .进行 审计 跟踪 识别 违反 安全 法 
规 的 行为 、 使 用 诱骗 服务 器 (记录 黑客 行为 ) 等 功能 ,使 系统 管理 员 可 以 较 有 效 地 监视 审计、 
评估 自己 的 系统 。 


2. 发 展 历程 


从 实验 室 原型 研究 到 推出 商业 化 产品 ,走向 市 场 并 获得 广泛 认同 ,入 侵 检测 走 过 了 
20 多 年 的 历程 。 

(1) 概念 的 提出 。1980 年 4 月 ,JnamesP. Aderson 为 美国 空军 做 了 一 份 题 为 Computer 
Security Threat Monitoring and Sureillance( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 , 详 
细 盖 述 了 入 侵 检 测 的 概念 ,提出 了 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ,并 将 威胁 分 为 
外 部 渗透 .内 部 渗透 和 不 法 行为 三 种 ,还 提出 了 利用 审计 跟踪 数据 监视 入侵 活动 的 思想 。 这 
份 报告 被 公认 为 人 侵 检测 技术 的 开始 。 

(2) 模型 的 发 展 。1984 年 一 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 
公司 计算 机 科学 实验 室 ) 的 PeterNeumann 提出 了 一 种 实时 入 侵 检测 系统 模型 , 取 名 为 
IDES( 入 侵 检测 专家 系统 ) 。 该 模型 独立 于 特定 的 系统 平台 、 应 用 环境 .系统 弱点 以 及 人 侵 
类 型 ,为 构建 人 侵 系 统 提供 了 一 个 通用 的 框架 。1988 年 ,SRI/CSL 的 Teresa Lunt 等 改进 
了 Denning 的 人 侵 检 测 模型 ,并 研发 出 了 实际 的 IDES。1988 年 的 莫 里 斯 蠕虫 事件 发 生 后 ， 
网 络 安全 引起 各 方 重视 。 美 国 空军 .国家 安全 局 和 能 源 部 共同 资助 空军 密码 支持 中 心 . 劳 伦 
斯 利 弗 摩尔 国家 实验 室 、 加 州 大 学 戴 维 斯 分 校 .Haystack 实验 室 ,开展 对 分 布 式 人 侵 检测 系 
统 (DIDS) 的 研究 ,将 基于 主机 和 基于 网 络 的 检测 方法 集成 到 一 起 。 

(3) 技术 的 进步 。1990 年 是 入侵 检测 系统 发 展 史上 十 分 重要 的 一 年 。 这 一 年 ,加 州 大 
学 戴 维 斯 分 校 的 L. T. Heberlein 等 开发 出 了 NSM(Network Security Monitor) 。 该 系统 第 
一 次 直接 将 网 络 作为 审计 数据 的 来 源 , 因 而 可 以 在 不 将 审计 数据 转化 成 统一 的 格式 情况 下 
监控 异种 主机 。 同 时 两 大 阵营 正式 形成 : 基于 网 络 的 IDS 和 基于 主机 的 IDS。 从 20 世纪 
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90 年 代 到 现在 ,入 侵 检测 系统 的 研发 呈现 出 百家争鸣 的 繁荣 局 面 , 并 在 智能 化 和 分 布 式 两 
个 方向 取得 了 长 足 的 进展 。SRI/CSL、 普 渡 大 学 、 加 州 戴 维 斯 分 校 、 洛 斯 阿拉 莫 斯 国 家 实验 
室 、 哥 伦比 亚 大 学 .新 墨西哥 大 学 等 机 构 在 这 些 方面 代表 了 当前 的 最 高 水 平 。 我 国 也 有 多 家 
企业 通过 最 初 的 技术 引进 ,逐渐 发 展 成 自主 研发 。 


4.2.2 入 侵 检 测 的 分 类 
1. 感觉 技术 分 类 


入 侵 检 测 系统 所 采用 的 技术 可 分 为 特征 检测 与 异常 检测 两 种 。 

(1) 特征 检测 。 特 征 检测 (Signature-Based Detection) 又 称 为 Misuse Detection ,这 一 
检测 假设 入 侵 者 的 活动 可 以 用 一 种 模式 来 表示 ,系统 的 目标 是 检测 主体 活动 是 否 符合 这 些 
模式 。 它 可 以 将 已 有 的 人 侵 方 法 检查 出 来 ,但 对 新 的 人 侵 方法 无 能 为 力 。 其 难点 在 于 如 何 
设计 模式 既 能 够 表达 “和 人 侵 "现象 ,又 不 会 将 正常 的 活动 包含 进来 。 

(2) 异常 检测 。 异 常 检测 (Anomaly Detection) 的 假设 是 入 侵 者 活动 异常 于 正常 主体 
的 活动 。 根 据 这 一 理念 建立 主体 正常 活动 的 “活动 简 档 ”, 将 当前 主体 的 活动 状况 与 “活动 简 
档 ” 相 比较 , 当 违 反 其 统计 规律 时 ,认为 该 活动 可 能 是 “入 侵 ” 行 为。 异常 检测 的 难题 在 于 如 
何 建立 “活动 简 档 ”以 及 如 何 设 计 统 计算 法 ,从 而 不 把 正常 的 操作 作为 “入侵 ”或 忽略 真正 的 
“人 侵 ” 行 为 。 


2. 根据 其 检测 数据 来 源 分 类 


(1) 基于 主机 的 入 侵 检测 系统 。 主 要 使 用 操作 系统 的 审计 、 跟 踪 日 志 作为 数据 源 , 某 些 
数据 源 也 会 主动 与 主机 系统 进行 交互 以 获得 不 存在 于 系统 日 志 中 的 信息 以 检测 入 侵 。 这 种 
类 型 的 检测 系统 不 需要 额外 的 硬件 。 对 网 络 流量 不 敏感 ,效率 高 ,能 准确 定位 入 侵 并 及 时 进 
行 反应 ,但 是 占用 主机 资源 ,依赖 于 主机 的 可 靠 性 ,所 能 检测 的 攻击 类 型 受 限 ,不 能 检测 网 络 
攻击 。 

(2) 基于 网 络 的 人 侵 检测 系统 。 通 过 被 动 地 监听 网 络 上 传输 的 原始 流量 ,对 获取 的 网 
络 数 据 进行 处 理 , 从 中 提取 有 用 的 信息 ,再 通过 与 已 知 攻击 特征 相 匹配 或 与 正常 网 络 行为 原 
型 相 比 较 来 识别 攻击 事件 。 此 类 检测 系统 不 依赖 操作 系统 作为 检测 资源 ,可 应 用 于 不 同 的 
操作 系统 平台 ; 配置 简单 ,不 需要 任何 特殊 的 审计 和 登录 机 制 ; 可 检测 协议 攻击 、 特 定 环境 
的 攻击 等 多 种 攻击 。 但 它 只 能 监视 经 过 本 网 段 的 活动 ,无 法 得 到 主机 系统 的 实时 状态 ,精确 
度 较 差 。 大 部 分 人 侵 检测 工具 都 是 基于 网 络 的 入 侵 检 测 系统 。 


4.2.3 入 侵 检测 系统 


基于 主机 的 人 侵 检测 系统 (HIDS) 从 单个 主机 上 提取 数据 (如 审计 记录 等 ) 作 为 人 侵 分 
析 的 数据 源 , 而 基于 网 络 的 入 侵 检测 系统 从 网 络 上 提取 数据 (如 网 络 链 路 层 的 数据 帧 ) 作 为 
和 人 侵 分 析 的 数据 源 。 通 常 来 说 ,基于 主机 的 入 侵 检 测 系统 只 能 检测 单个 主机 系统 ,而 基于 网 
络 的 入 侵 检测 系统 可 以 对 本 网 段 的 多 个 主机 系统 进行 检测 ,多 个 分 布 于 不 同 网 段 上 的 基于 
网 络 的 人 侵 检测 系统 可 以 协同 工作 ,以 提供 更 强 的 入 侵 检测 能 力 。 
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1. 基于 主机 的 入 侵 检 测 系 统 及 特点 


1) 系统 概述 

基于 主机 的 人 侵 检测 系统 将 检测 模块 驻 留 在 被 保护 系统 上 ,通过 提取 被 保护 系统 的 运 
行 数 据 并 进行 人 侵 分 析 来 实现 人 侵 检测 的 功能 。 目 前 ,基于 主机 的 人 侵 检测 系统 很 多 是 基 
于 主机 日 志 分 析 。 通 过 分 析 主 机 日 志 来 发 现 人 侵 行为 。 基 于 主机 的 人 侵 检测 系统 具有 检测 
效率 高 ,分析 代 价 小 ,分 析 速 度 快 的 特点 ,能够 迅速 并 准确 地 定位 入 侵 者 ,并 可 以 结合 操作 系 
统 和 应 用 程序 的 行为 特征 对 入 侵 进 行进 一 步 分 析 , 如 图 4-6 所 示 。 


[Ra 入 侵权 测 器 | 世 时 | 应 名 措施 


主机 系统 
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系统 操作 


审计 记录 


4-6 基于 主机 的 人 侵 检测 


基于 主机 的 和 人 侵 检 测 系统 存在 的 问题 是 : 首先 它 在 一 定 程度 上 依赖 于 系统 的 可 靠 性 ， 
它 要 求 系统 本 身 应 该 具备 基本 的 安全 功能 并 具有 合理 的 设置 ,然后 才能 提取 入 侵 信 息 ; 有 
时 即使 进行 了 正确 的 设置 ,对 操作 系统 熟悉 的 攻击 者 仍然 有 可 能 在 入 侵 行 为 完成 后 及 时 地 
将 系统 日 志 抹 去 ,从 而 不 被 发 觉 ; 并 且 主 机 的 日 志 能 够 提供 的 信息 有 限 , 有 的 入 侵 手 段 和 途 
径 不 会 在 日 志 中 有 所 反映 ,日 志 系统 对 有 的 入 侵 行为 不 能 做 出 正确 的 响应 。 

和 人 侵 检测 作为 一 种 积极 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 
实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 入 侵 。 从 网 络 安全 立体 纵深 、 多 层次 防御 的 
角度 出 发 ,人 侵 检测 理应 受到 人 们 的 高 度 重视 ,这 从 国外 入侵 检测 产品 市 场 的 蓬勃 发 展 就 可 
以 看 出 。 在 国内 , 随 着 上 网 的 关键 部 门 .关键 业务 越 来 越 多 ,迫切 需要 具有 自主 版 权 的 入 侵 
检测 产品 。 但 现状 是 入 侵 检测 仅仅 停留 在 研究 和 实验 样品 (缺乏 升级 和 服务 ) 阶 段 ,或 者 是 
防火 墙 中 集成 较为 初级 的 入侵 检测 模块 。 可 见 , 入 侵 检测 产品 仍 具有 较 大 的 发 展 空 间 , 从 技 
术 途 径 来 讲 , 除 了 完善 常规 的 、 传 统 的 技术 (模式 识别 和 完整 性 检测 ) 外 ,应 重点 加 强 统计 分 
析 的 相关 技术 研究 。 

2) 基于 主机 的 入 侵 检测 系统 的 优点 

(1) 可 监视 特定 的 系统 活动 。 由 于 基于 主机 的 IDS 使 用 含有 已 发 生 事件 信息 ,能 够 检 
测 到 基于 网 络 的 IDS 检测 不 出 的 攻击 ,如 监视 用 户 访 问 文件 的 活动 ,包括 文件 访问 、 主 要 系 
统 文件 和 可 执行 文件 的 改变 、 试 图 建立 新 的 可 执行 文件 或 者 试图 访问 特殊 的 设备 ,还 可 监视 
通常 只 有 管理 员 才 能 实施 的 非 正 常 行为 ,包括 用 户 账户 、 删 除 、 更 改 的 情况 等 。 

(2) 适用 于 加 密 的 及 交换 的 环境 。 交 换 设备 可 将 大 型 网 络 分 成 许多 的 小 型 网 段 加 以 管 
理 。 基 于 主机 的 IDS 可 安装 在 所 需 检 测 的 重要 主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 
度 。 而且, 基于 主机 的 IDS 也 能 适应 加 密 的 环境 。 
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(3) 不 要 求 额外 的 硬件 设备 。 基 于 主机 的 IDS 存在 于 现行 的 主机 和 服务 器 之 中 ,包括 
文件 服务 器 、Web 服务 器 及 其 他 共享 资源 。 它 们 不 需要 在 网 络 上 另外 安装 、 维 护 及 管理 硬 
件 设备 。 

3) 基于 主机 的 入 侵 检测 系统 的 弱点 

(1) 基于 主机 的 IDS 需要 安装 在 需要 保护 的 设备 上 ,会 降低 系统 效率 。 当 一 个 数据 库 
服务 器 要 保护 时 ,就 要 在 服务 器 本 身 安装 入侵 检测 系统 。 这 会 降低 应 用 系统 的 效率 ,也 会 带 
来 一 些 额外 的 安全 问题 。 

(2) 基于 主机 的 人 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 
配置 日 志 功 能 , 则 必须 重新 配置 ,这 将 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

(3) 全 面部 署 主机 和 人 侵 检测 系统 的 代价 较 大 。 企 业 很 难 将 所 有 主机 用 入 侵 检测 系统 保 
护 ,只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 入 侵 检测 系统 的 机 器 将 成 为 保护 的 盲点 ,入 侵 
者 可 利用 这 些 机 器 达到 攻击 的 目标 。 

(4) 主机 入 侵 检测 系统 只 能 分 析 与 本 地 主机 相关 的 通信 ,根本 不 能 检测 网 络 上 的 通信 。 


2. 基于 网 络 的 入 侵 检 测 系 统 


1) 系统 概述 

基于 网 络 的 人 侵 检测 系统 (NIDS) 通 过 网 络 监 视 来 实现 数据 提取 。 在 Internet 中 ,局 域 
网 普遍 采用 以 太 网 协议 。 该 协议 定义 主机 进行 数据 传输 时 采用 子 网 广播 的 方式 ,任何 一 台 
主机 发 送 的 数据 包 都 会 在 所 经 过 的 子 网 中 进行 广播 ,也 就 是 说 ,任何 一 台 主 机 接收 和 发 送 的 
数据 都 可 以 被 同一 子 网 内 的 其 他 主机 接收 。 在 正常 设置 下 ,主机 的 网 卡 对 每 一 个 到 达 的 数 
据 包 进行 过 滤 , 只 将 目的 地 址 是 本 机 的 或 广播 地 址 的 数据 包 放 入 接收 缓冲 区 ,而 将 其 他 数据 
包 丢弃 。 因 此 ,正常 情况 下 网 络 上 的 主机 表现 为 只 关心 与 本 机 有 关 的 数据 包 , 但 是 将 网 卡 的 
接收 模式 进行 适当 的 设置 后 就 可 以 改变 网 卡 的 过 滤 策 略 ,使 网 卡 能 够 接收 经 过 本 网 段 的 所 
有 数据 包 , 无 论 这 些 数据 包 的 目的 地 是 否 是 该 主机 。 网 卡 的 这 种 接收 模式 称 为 混杂 模式 , 目 
前 绝 大 部 分 网 卡 都 提供 这 种 设置 ,因此 在 需要 的 时 候 , 对 网 卡 进行 合理 的 设置 就 能 获得 经 过 
本 网 段 的 所 有 通信 信息 ,从 而 实现 网 络 监视 的 功能 。 网 络 监视 具有 良好 的 特性 : 理论 上 ,网 
络 监视 可 以 获得 所 有 的 网 络 信息 数据 ,只 要 时 间 人 允许 ,可 以 在 庞大 的 数据 堆 中 提取 和 分 析 需 
要 的 数据 ; 可 以 对 一 个 子 网 进行 检测 ,一 个 监视 模块 可 以 监视 同一 网 段 的 多 台 主 机 的 网 络 
行为 ,不 改变 系统 和 网 络 的 工作 模式 ,也 不 影响 主机 性 能 和 网 络 性 能 ; 它 可 以 从 低层 开始 分 
析 ,对 基于 协议 攻击 的 入侵 手段 有 较 强 的 分 析 能 力 。 网 络 监 视 的 主要 问题 是 监视 数据 量 过 
于 庞大 且 不 能 结合 操作 系统 特征 来 对 网 络 行为 进行 准确 的 判断 ,如 图 4-7 所 示 。 

基于 网 络 的 入 侵 检 测 系统 放置 在 比较 重要 的 网 段 内 ,监视 网 段 中 的 各 种 数据 包 , 对 每 一 
个 数据 包 或 可 疑 的 数据 包 进行 特征 分 析 和 异常 检测 。 如 果 数 据 包 与 系统 内 置 的 某 些 规则 或 
策略 吻合 ,入 侵 检 测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连 接 。 基 于 网 络 的 入 侵 检测 方式 
具有 较 强 的 数据 提取 能 力 , 因 此 目前 很 多 人 侵 检测 系统 倾向 于 采用 基于 网 络 的 检测 手段 来 

2) 网 络 人 侵 检测 系统 优点 

(1) 可 检测 低层 协议 的 攻击 。NIDS 检查 所 有 数据 包 的 头 部 和 有 效 负载 的 内 容 , 人 侵 防 
御 系 统 技术 研究 与 设计 ,从 而 能 很 好 地 检测 出 利用 低层 网 络 协议 进行 的 攻击 。 
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图 4-7 基于 网 络 的 入侵 检测 系统 结构 


(2) 攻击 者 不 易 转移 证 据 。NIDS 使 用 正在 发 生 的 网 络 通信 数据 进行 检测 ,所 以 攻击 者 
无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,而 且 还 包括 可 识别 黑客 身份 信息 ,甚至 
可 以 检测 未 成 功 的 攻击 和 不 良 意图 。 

(3) 不 需要 改变 服务 器 等 主机 的 配置 。 由 于 它 不 会 在 业务 系统 的 主机 中 安装 额外 的 
软件 ,从 而 不 会 影响 这 些 机 器 的 CPU IO 与 磁盘 等 资源 的 使 用 ,不 会 影响 业务 系统 的 
性 能 。 

(4) 可 靠 性 好 。NIDS 不 运行 其 他 的 应 用 程序 ,不 提供 网 络 服 务 , 可 以 不 响应 其 他 计算 
机 ,不 会 因为 目标 系统 崩溃 而 停止 检测 ,因此 可 以 做 得 比较 隐蔽 和 安全 。 其 次 ,由 于 NIDS 
不 像 路 由 器 .防火墙 等 关键 设备 方式 工作 , 它 不 会 成 为 系统 中 的 关键 路 径 。NIDS 发 生 故 障 
不 会 影响 正常 业务 的 运行 。 

(5) 与 操作 系统 无 关 , 不 占用 被 检测 系统 的 资源 。NIDS 主要 检测 所 捕获 的 网 络 通 信 数 
据 , 与 被 检测 主机 的 操作 系统 和 其 运行 状态 无 关 , 并 且 不 占用 被 检测 系统 的 资源 。 

3) 网 络 人 侵 检 测 系统 不 足 

(1) 容易 受到 拒绝 服务 攻击 。 因 为 NIDS 要 检测 所 捕获 的 网 络 通信 数据 并 维持 许多 网 
络 事件 的 状态 信息 ,很 容易 受到 拒绝 服务 攻击 。 例 如 ,人 侵 者 可 以 发 送 许多 到 不 同 节点 的 数 
据 包 分 段 ,使 NIDS 忙于 组 装 数据 包 而 耗 尽 其 资源 或 降低 其 处 理 速 度 。 

(2) 不 适合 交换 式 网 络 。 交 换 式 网 络 对 NIDS 将 会 造成 问题 ,因为 连 到 交换 式 网 络 上 
的 NIDS 只 能 看 到 发 送 给 自己 的 数据 包 , 因 而 无 法 检测 网 络 入侵 行 为 。 

(3) 监测 复杂 的 攻击 较 弱 。NIDS 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 
出 一 些 普 通 攻击 ,而 很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

(4) 不 适合 加 密 环境 。 网 络 入 侵 检 测 系 统 通常 无 法 对 捕获 的 加 密 数 据 进 行 解密 ,也 就 
失去 了 入 侵 检 测 的 功能 。 


4.2.4 入 侵 检 测 的 步骤 


入 侵 检测 为 网 络 安全 提供 实时 检测 及 攻击 行为 检测 ,并 采取 相应 的 防护 手段 。 例 如 , 实 
时 检测 通过 记录 证 据 来 进行 跟踪 、 恢 复 、 断 开 网 络 连接 等 控制 ; 攻击 行为 检测 注重 于 发 现 信 
息 系统 中 可 能 已 经 通过 身份 检查 的 形迹 可 疑 者 ,进一步 加 强 信息 系统 的 安全 力度 。 和 人 侵 检 
测 的 步骤 如 下 所 述 。 
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1. 信息 收集 


入 侵 检 测 的 第 一 步 是 信息 收集 ,收集 系统 、 网 络 .数据 及 用 户 活 动 的 状态 和 行为 的 信息 。 
入 侵 检测 一 般 采 用 分 布 式 结构 ,在 计算 机 网 络 系统 中 的 若干 不 同 关键 点 (不 同 网 段 和 不 同 主 
机 ) 收 集 信息 ,一 方面 扩大 检测 范围 , 另 一 方面 通过 多 个 采集 点 的 信息 的 比较 来 判断 是 否 存 
在 可 疑 现 象 或 发 生 人 侵 行为 。 

入 侵 检测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ,因此 有 必要 只 利用 所 知道 的 
真正 的 和 精确 的 软件 来 报告 这 些 信 息 。 黑 客 经 常 替换 软件 以 搞 混和 移 走 这 些 信息 ,例如 替 
换 被 程序 调用 的 子 程序 、 库 和 其 他 工具 。 黑 客 对 系统 的 修改 可 能 使 系统 功能 失常 并 看 起 来 
跟 正常 的 一 样 ,而 实际 上 不 是 。 例 如 ,UNIX 系统 的 PS 指令 可 以 被 蔡 换 为 一 个 不 显示 侵入 
过 程 的 指令 ,或 者 是 编辑 器 被 蔡 换 成 一 个 读 取 不 同 于 指定 文件 的 文件 (黑客 隐藏 了 初试 文件 
并 用 另 一 版 本 代替 )。 这 需要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ,特别 是 入 侵 检 测 系统 
软件 本 身 应 具有 相当 强 的 坚固 性 ,防止 被 算 改 而 收集 到 错误 的 信息 。 

入 侵 检测 利用 的 信息 一 般 来 自 以 下 4 个 方面 : 

1) 系统 和 网 络 日 志文 件 

黑客 经 常 在 系统 日 志文 件 中 留 下 他 们 的 踪迹 ,因此 充分 利用 系统 和 网 络 日 志文 件 信息 
是 检测 人 侵 的 必要 条 件 。 日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 寻常 和 不 期 望 活动 的 证 据 ， 
这 些 证 据 可 以 指出 有 人 正在 入 侵 或 已 成 功 人 侵 了 系统 。 通 过 查看 日 志文 件 , 能 够 发 现成 功 
的 入 侵 或 人 侵 企图 ,并 很 快 地 启动 相应 的 应 急 响 应 程序 。 日 志文 件 中 记录 了 各 种 行为 类 型 ， 
每 种 类 型 又 包含 不 同 的 信息 ,例如 记录 “用 户 活动 ”类 型 的 日 志 , 就 包含 登录 、 用 户 ID 改变 、 
用 户 对 文件 的 访问 、 授 权 和 认证 信息 等 内 容 。 很 显然 地 ,对 用 户 活动 来 讲 , 不 正常 的 或 不 期 
望 的 行为 就 是 重复 登录 失败 、 登 录 到 不 期 望 的 位 置 以 及 非 授权 的 企图 访问 重要 文件 等 。 

2) 目录 和 文件 中 不 期 望 的 改变 

网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,包含 重要 信息 的 文件 和 私有 数据 文 
件 经 常 是 黑客 修改 或 破坏 的 目标 。 目 录 和 文件 中 不 期 望 的 改变 (包括 修改 .创建 和 删除 ) , 特 
别 是 那些 正常 情况 下 限制 访问 的 ,很 可 能 就 是 一 种 人 侵 产生 的 指示 和 信和 号。 黑客 经 常 替换 、 
修改 和 破坏 他 们 获得 访问 权 的 系统 上 的 文件 ,同时 为 了 隐藏 系统 中 他 们 的 表现 及 活动 痕迹 ， 
都 会 尽力 去 蔡 换 系统 程序 或 修改 系统 日 志文 件 。 

3) 程序 执行 中 的 不 期 望 行为 

网 络 系统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服务 .用户 起 动 的 程序 和 特定 目的 的 应 
用 ,例如 数据 库 服务 器 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 。 每 个 进程 执行 
在 具有 不 同 权 限 的 环境 中 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 .程序 和 数据 文件 等 。 一 
个 进程 的 执行 行为 由 它 运行 时 执行 的 操作 来 表现 ,操作 执行 的 方式 不 同 , 它 利用 的 系统 资源 
也 就 不 同 。 操 作 包 括 计算 ,文件 传输 .设备 和 其 他 进程 ,以 及 与 网 络 间 其 他 进程 的 通信 。 

一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 入 侵 你 的 系统 。 黑 客 可 能 会 将 程序 或 
服务 的 运行 分 解 , 从 而 导致 它 失败 ,或 者 是 以 非 用 户 或 管理 员 意图 的 方式 操作 。 

4) 物理 形式 的 和 人 侵 信息 

这 包括 两 个 方面 的 内 容 : 一 是 未 授权 的 对 网 络 硬件 连接 ; 二 是 对 物理 资源 的 未 授权 访 
问 。 黑 客 会 想方设法 去 突破 网 络 的 周边 防卫 .如 果 他 们 能 够 在 物理 上 访问 内 部 网 ,就 能 安装 
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他 们 自己 的 设备 和 软件 。 依 此 ,黑客 就 可 以 知道 网 上 由 用 户 加 上 去 的 不 安全 (未 授权 ) 设 备 ， 
然后 利用 这 些 设 备 访问 网 络 。 例 如 ,用 户 在 家 里 可 能 安装 Modem 以 访问 远程 办 公 室 ,与 此 
同时 黑客 正在 利用 自动 工具 来 识别 在 公共 电话 线 上 的 Modem, 如 果 一 拨号 访问 流量 经 过 网 
络 安全 的 后 门 ,黑客 就 会 利用 这 个 后 门 来 访问 内 部 网 ,从 而 越过 了 内 部 网 络 原 有 的 防护 措 
施 ,然后 捕获 网 络 流量 ,进而 攻击 其 他 系统 ,并 偷 取 敏感 的 私有 信息 等 。 


2. 信号 分 析 


根据 收集 到 的 信息 进行 分 析 。 常 用 的 分 析 方法 有 模式 匹配 、 统 计 分 析 、 完 整 性 分 析 。 模 
式 匹 配 是 将 收集 到 的 信息 与 已 知 的 网 络 人 侵 和 系统 误 用 模式 数据 库 进 行 比较 ,从 而 发 现 违 
背 安全 策略 的 行为 。 统 计 分 析 方 法 首先 给 系统 对 象 (如 用 户 .文件 .目录 和 设备 等 ) 创 建 一 个 
统计 描述 ,统计 正常 使 用 时 的 一 些 测量 属性 。 测 量 属性 的 平均 值 将 被 用 来 与 网 络 .系统 的 行 
为 进行 比较 。 当 观察 值 超出 正常 值 范围 时 ,就 有 可 能 发 生 和 人 侵 行为 。 该 方法 的 难点 是 阔 值 
的 选择 , 国 值 太 小 可 能 产生 错误 的 入侵 报告 , 国 值 太 大 可 能 漏 报 一 些 人 侵 事 件 。 完 整 性 分 析 
主要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 包 括 文件 和 目录 的 内 容 及 属性 。 该 方法 能 有 效 地 防 
范 特洛伊 木马 的 攻击 。 

对 上 述 4 类 收集 到 的 有 关系 统 、 网 络 数据 及 用 户 活动 的 状态 和 行为 等 信息 ,一般 通过 
三 种 技术 手段 进行 分 析 : 模式 匹配 ,统计 分 析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 
入 侵 检测 ,而 完整 性 分 析 则 用 于 事后 分 析 。 

1) 模式 匹配 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹配 以 寻找 一 个 简单 的 条 
目 或 指令 ), 也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 一 般 来 讲 ， 
一 种 进攻 模式 可 以 用 一 个 过 程 ( 如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 该 方法 
的 一 大 优点 是 只 需 收 集 相关 的 数据 集合 ,显著 减少 了 系统 负担 , 且 技 术 已 相当 成 熟 。 它 与 病 
毒 防火 墙 采用 的 方法 一 样 , 检 测 准确 率 和 效率 都 相当 高 。 但 是 ,该 方法 存在 的 弱点 是 需要 不 
断 的 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

2) 统计 分 析 

统计 分 析 方 法 首先 给 系统 对 象 (如 用 户 ,文件 .目录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 
正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 ) 。 测 量 属 性 的 平均 值 将 
被 用 来 与 网 络 .系统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 就 认为 有 人 侵 发 生 。 
例如 ,统计 分 析 可 能 标识 一 个 不 正常 行为 ,因为 它 发 现 一 个 在 晚 八 点 至 早 六 点 不 登录 的 帐户 
却 在 凌晨 两 点 试图 登录 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 人 侵 ,缺点 是 误 报 ` 漏 
报 率 高 ,上 且 不 适应 用 户 正常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 如 基于 专家 系统 的 、 基 于 
模型 推理 的 和 基于 神经 网 络 的 分 析 方 法 , 正 处 于 研究 热点 和 迅速 发 展 之 中 。 

3) 完整 性 分 析 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包括 文件 和 目录 的 内 容 及 属 
性 , 它 在 发 现 被 更 改 的 、 被 特洛伊 化 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 强 有 力 的 加 
密 机 制 , 称 为 消息 摘要 函数 (例如 MD5) , 它 能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 
匹配 方法 和 统计 分 析 方法 能 否 发 现 人 侵 ,只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 
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改变 , 它 都 能 够 发 现 。 缺 点 是 一 般 以 批 处 理 方式 实现 ,不 用 于 实时 响应 。 尽 管 如 此 ,完整 性 
检测 方法 还 应 该 是 网 络 安全 产品 的 必要 手段 之 一 。 例 如 ,可 以 在 每 一 天 的 某 个 特定 时 间 内 
开启 完整 性 分 析 模块 ,对 网 络 系统 进行 全 面 的 扫描 检查 。 


人 3 访问 控制 技术 


本 节 将 介绍 访问 控制 的 基本 概念 和 访问 控制 模型 。 


4.3.1 访问 控制 概述 
1. 访问 控制 定义 


访问 控制 (Access Control) 就 是 在 身份 认证 的 基础 上 ,依据 授权 对 提出 的 资源 访问 请 求 
加 以 控制 。 访 问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 可 以 限制 对 关键 资源 的 访问 , 防 
止 非法 用 户 的 侵入 或 合法 用 户 的 不 慎 操 作 所 造成 的 破坏 。 

按 用 户 身份 及 其 所 归属 的 某 项 定义 组 来 限制 用 户 对 某 些 信 息 项 的 访问 ,或 限制 对 某 些 
控制 功能 的 使 用 。 访 问 控制 通常 用 于 系统 管理 员 控 制 用 户 对 服务 器 .目录 文件 等 网 络 资源 
的 访问 。 

访问 控制 的 功能 主要 有 以 下 几 个 方面 : 防止 非法 的 主体 进入 受 保护 的 网 络 资源 ; 允许 
合法 用 户 访问 受 保护 的 网 络 资源 ; 防止 合法 的 用 户 对 受 保护 的 网 络 资源 进行 非 授权 的 
访问 。 

访问 控制 实现 的 策略 有 入 网 访问 控制 ; 网 络 权 限 限 制 ; 目录 级 安全 控制 ; 属性 安全 控 
制 ; 网 络 服务 器 安全 控制 ; 网 络 监 测 和 锁定 控制 ; 网 络 端口 和 节点 的 安全 控制 ; 防火 墙 
控制 。 

对 访问 控制 一 般 的 实现 方法 可 以 采用 访问 控制 矩阵 模型 。 访 问 控制 机 制 可 以 用 一 个 三 
元 组 (S,O,A) 表 示 。 其 中 ,S 是 主体 集合 ,O 是 客体 集合 ,A 是 属性 集合 。 对 于 任意 一 个 
sSES,oEO, 那 么 相应 地 存在 一 个 acEA, 而 a 就 决定 了 s 对 o 可 进行 什么 样 的 访问 操作 。 

可 信 计 算 机 系统 评估 准则 (TCSEC) 提 出 了 访问 控制 在 计算 机 安全 系统 中 的 重要 作用 。 
准则 要 达到 的 一 个 主要 目标 就 是 阻止 非 授权 用 户 对 敏感 信息 的 访问 。 访 问 控制 在 准则 中 被 
分 为 两 类 : 自主 访问 控制 (Discretionary Access Control,DAC) 和 强制 访问 控制 (Mandatory 
Access Control,MAC) 。 该 标准 将 计算 机 系统 的 安全 程度 从 高 到 低 划 分 为 AL1,B3,B2,Bl， 
C2,C1,D 这 7 个 等 级 ,每 一 个 等 级 对 访问 控制 都 提出 了 不 同 的 要 求 。 例 如 ,C 级 要 求 至 少 
有 具有 自主 型 的 访问 控制 ; B 级 以 上 要 求 具有 强制 型 的 访问 控制 手段 。 我 国 也 于 1999 年 颁 
布 了 计算 机 信息 系统 安全 保护 等 级 划分 准则 这 一 国家 标准 。 


2. 访问 控制 的 类 型 


1) 按 控制 方式 分 类 

访问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 大 类 。 

(1) 自主 访问 控制 。 是 指 用 户 有 权 对 自身 所 创建 的 访问 对 象 (文件 .数据 表 等 ) 进 行 访 
问 ,并 可 将 对 这 些 对 象 的 访问 权 授 予 其 他 用 户 和 从 授予 权限 的 用 户 收回 其 访问 权限 。 
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(2) 强制 访问 控制 。 是 指 由 系统 (通过 专门 设置 的 系统 安全 员 ) 对 用 户 所 创建 的 对 象 进 
行 统一 的 强制 性 控制 ,按照 规定 的 规则 决定 哪些 用 户 可 以 对 哪些 对 象 进行 什么 操作 系统 类 
型 的 访问 。 即 使 是 创建 者 用 户 ,在 创建 一 个 对 象 后 ,也 可 能 无 权 访 问 该 对 象 。 

2) 按 控制 范围 分 类 

访问 控制 主要 有 网 络 访问 控制 和 系统 访问 控制 。 

(1) 网 络 访 问 控制 。 网 络 访问 控制 限制 外 部 对 网 络 服务 的 访问 和 系统 内 部 用 户 对 外 部 
的 访问 ,通常 由 防火 墙 实 现 。 网 络 访问 控制 的 属性 有 源 IP 地 址 、 源 端口 .目的 IP 地 址 和 目 
的 端口 等 。 

(2) 系统 访问 控制 。 系 统 访问 控制 为 不 同 用 户 赋予 不 同 的 主机 资源 访问 权限 ,操作 系 
统 提供 一 定 的 功能 实现 系统 访问 控制 ,如 UNIX 的 文件 系统 。 系 统 访问 控制 (以 文件 系统 
为 例 ) 的 属性 有 用 户 、 组 ,资源 (文件 ) 和 权限 等 。 


3. 访问 控制 系统 


访问 控制 系统 一 般 包 括 主体 、 客 体 、 安 全 访问 策略 。 

(1) 主体 。 发 出 访问 操作 、 存 取 要 求 的 发 起 者 ,通常 指 用 户 或 用 户 的 某 个 进程 。 

(2) 客体 。 被 调用 的 程序 或 要 存 取 的 数据 , 即 必须 进行 控制 的 资源 或 目标 ,如 网 络 中 的 
进程 等 活跃 元 素 ,数据 与 信息 、 各 种 网 络 服 务 和 功能 、 网 络 设备 与 设施 。 

(3) 安全 访问 策略 。 一 套 规则 ,用 以 确定 一 个 主体 是 否 对 客体 拥有 访问 能 力 , 它 定义 了 
主体 与 客体 可 能 的 相互 作用 途径 。 

访问 控制 根据 主体 和 客体 之 间 的 访问 授权 关系 对 访问 过 程 做 出 限制 。 从 数学 角度 来 
看 ,访问 控制 本 质 上 是 一 个 矩阵 , 行 表示 资源 ,列表 示 用 户 , 行 和 列 的 交叉 点 表示 某 个 用 户 对 
某 个 资源 的 访问 权限 ( 读 、 写 ,执行 修改 和 删除 等 ) 。 

例如 ,用 户 的 人 网 访问 控制 。 用 户 的 入 网 控制 可 分 为 三 个 步骤 : 用 户 名 的 识别 与 验证 、 
用 户口 令 的 识别 与 验证 ,用 户 账号 的 缺 省 限制 检查 。 用 户 账号 应 只 有 系统 管理 员 才 能 建立 。 
口令 控制 应 该 包括 最 小 口令 长 度 、 强 制 修改 口令 的 时 间 间 隔 ` 口 令 的 唯一 性 ` 口 令 过 期 失效 
后 允许 和 网 的 宽 限 次 数 等 。 网 络 应 能 控制 用 户 登 录入 网 的 站 点 (地 址 )、 限 制 用 户 入 网 的 时 
间 、 限 制 用户 入 网 的 工作 站 数量 。 当 用 户 对 交 费 网 络 的 访问 “资费 ”用 尽 时 ,网 络 还 应 能 对 用 
户 的 账号 加 以 限制 ,用 户 此 时 应 无 法 进入 网 络 访问 网 络 资源 。 网 络 信息 系统 应 对 所 有 用 户 
的 访问 进行 审计 。 


4. 访问 控制 分 类 


操作 系统 的 用 户 范围 很 广 , 拥 有 的 权限 也 不 同 。 一 般 分 为 如 下 几 类 : 

(1) 系统 管理 员 。 这 类 用 户 就 是 系统 管理 员 , 具 有 最 高 级 别 的 特权 ,可 以 对 系统 中 的 任 
何 资源 进行 访问 并 具有 任何 类 型 的 访问 操作 能 力 。 负 责 创建 用 户 创建 组 ,管理 文件 系统 等 
所 有 的 系统 日 常 操作 ; 授权 修改 系统 安全 员 的 安全 属性 。 

(2) 系统 安全 员 。 管 理 系统 的 安全 机 制 ,按照 给 定 的 安全 策略 ,设置 并 修改 用 户 和 访问 
客体 的 安全 属性 ; 选择 与 安全 相关 的 审计 规则 。 安 全 员 不 能 修改 自己 的 安全 属性 。 

(3) 系统 审计 员 。 负 责 管理 与 安全 有 关 的 审计 任务 。 这 类 用 户 按照 制定 的 安全 审计 策 
略 负责 整个 系统 范围 的 安全 控制 与 资源 使 用 情况 的 审计 ,包括 记录 审计 日 志和 对 违规 事件 
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的 处 理 。 

(4) 一 般 用 户 。 这 是 最 大 一 类 用 户 , 也 就 是 系统 的 一 般 用 户 。 他 们 的 访问 操作 要 受到 
一 定 的 限制 。 系 统管 理 员 对 这 类 用 户 分 配 不 同 的 访问 操作 权力 。 

数据 库 管 理 系统 也 一 般 具 有 与 操作 系统 相似 的 用 户 。 

最 近 几 年 ,基于 角色 的 访问 控制 (Role-based Access Control,RBAC) 正 得 到 广泛 的 研 
究 与 应 用 ,目前 已 提出 的 主要 RBAC 模型 有 美国 国家 标准 与 技术 局 NIST 的 RBAC 模型 。 


4.3.2 访问 控制 模型 
1. 基于 对 象 的 访问 控制 模型 


DAC 或 MAC 模型 的 主要 任务 都 是 对 系统 中 的 访问 主体 和 受 控 对 象 进行 一 维 的 权限 
管理 。 当 用 户 数 量 多 .处 理 的 信息 数据 量 巨大 时 ,用 户 权限 的 管理 任务 将 变 得 十 分 繁重 ,并 
且 用 户 权限 难以 维护 ,这 会 降低 系统 的 安全 性 和 可 靠 性 。 对 于 海量 的 数据 和 差异 较 大 的 数 
据 类 型 ,需要 用 专门 的 系统 和 专门 的 人 员 加 以 处 理 。 如 果 采 用 RBAC 模型 ,安全 管理 员 除 
了 维护 用 户 和 角色 的 关联 关系 外 ,还 需要 将 庞大 的 信息 资源 访问 权限 赋予 有 限 个 角色 。 当 
信息 资源 的 种 类 增加 或 减少 时 ,安全 管理 员 必 须 更 新 所 有 角色 的 访问 权限 设置 ,而 且 , 如 果 
受 控 对 象 的 属性 发 生变 化 ,同时 需要 将 受 控 对 象 不 同属 性 的 数据 分 配给 不 同 的 访问 主体 处 
理 时 ,安全 管理 员 将 不 得 不 增加 新 的 角色 ,并 且 还 必须 更 新 原来 所 有 角色 的 访问 权限 设置 以 
及 访问 主体 的 角色 分 配 设置 ,这 样 的 访问 控制 需求 变化 往往 是 不 可 预知 的 ,造成 访问 控制 管 
理 的 难度 和 工作 量 巨 大 。 在 这 种 情况 下 ,有 必要 引入 基于 受 控 对 象 的 访问 控制 模型 
(Object-Based Access Control Model,OBAC Model) 。 

控制 策略 和 控制 规则 是 OBAC 访问 控制 系统 的 核心 所 在 ,在 基于 受 控 对 象 的 访问 控制 
模型 中 ,将 访问 控制 列表 与 受 控 对 象 或 受 控 对 象 的 属性 相关 联 , 并 将 访问 控制 选项 设计 成 为 
用 户 、 组 或 角色 及 其 对 应 权限 的 集合 ; 同时 允许 对 策略 和 规则 进行 重用 、 继 承 和 派生 操作 。 
这 样 ,不 仅 可 以 对 受 控 对 象 本 身 进行 访问 控制 , 受 控 对 象 的 属性 也 可 以 进行 访问 控制 ,而 且 
派生 对 象 可 以 继承 父 对 象 的 访问 控制 设置 ,这 对 于 信息 量 巨大 、 信 息 内 容 更 新 变化 频繁 的 管 
理 信息 系统 非常 有 益 , 可 以 减轻 由 于 信息 资源 的 派生 、 演 化 和 重组 等 带 来 的 分 配 、 设 定 角色 
权限 等 的 工作 量 。 

OBAC 从 信息 系统 的 数据 差异 变化 和 用 户 需 求 出 发 .有效 地 解决 了 信息 数据 量 大 、 数 
据 种 类 繁多 .数据 更 新 变化 频繁 的 大 型 管理 信息 系统 的 安全 管理 。OBAC 从 受 控 对 象 的 角 
度 出 发 ,将 访问 主体 的 访问 权限 直接 与 受 控 对 象 相 关联 ,一 方面 定义 对 象 的 访问 控制 列表 ， 
增 \ 删 ,修改 访问 控制 项 易于 操作 ; 另 一 方面 , 当 受 控 对 象 的 属性 发 生 改变 ,或 者 受 控 对 象 发 
生 继 承 和 派生 行为 时 ,无 须 更 新 访问 主体 的 权限 ,只 需要 修改 受 控 对 象 的 相应 访问 控制 项 即 
可 ,从 而 减少 了 访问 主体 的 权限 管理 ,降低 了 授权 数据 管理 的 复杂 性 。 


2. 基于 任务 的 访问 控制 模型 


1) 模型 概述 
基于 任务 的 访问 控制 模型 (Task-based Access Control Model,TBAC Model) 是 从 应 用 
和 企业 层 角度 来 解决 安全 问题 ,以 面向 任务 的 观点 ,从 任务 (活动 ) 的 角度 来 建立 安全 模型 和 
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实现 安全 机 制 ,在 任务 处 理 的 过 程 中 提供 动态 实时 的 安全 管理 。 

在 TBAC 中 ,对 象 的 访问 权限 控制 并 不 是 静止 不 变 的 ,而 是 随 着 执行 任务 的 上 下 文 环 
境 发 生变 化 。TBAC 首要 考虑 的 是 在 工作 流 的 环境 中 对 信息 的 保护 问题 。 在 工作 流 环境 
中 ,数据 的 处 理 与 上 一 次 的 处 理 相 关联 ,相应 的 访问 控制 也 如 此 ,因而 TBAC 是 一 种 上 下 文 
相关 的 访问 控制 模型 。 其 次 ,TBAC 不 仅 能 对 不 同 工 作 流 实行 不 同 的 访问 控制 策略 ,而 且 
还 能 对 同一 工作 流 的 不 同 任务 实例 实行 不 同 的 访问 控制 策略 。 从 这 个 意义 上 说 ,TBAC 是 
基于 任务 的 ,这 也 表明 ,TBAC 是 一 种 基于 实例 (Instance-Based) 的 访问 控制 模型 。 

2) 模型 结构 

TBAC 模型 由 工作 流 、 授 权 结构 体 、 受 托 人 集 、. 许 可 集 4 部 分 组 成 。 

(1) 任务 (Task) 是 工作 流程 中 的 一 个 逻辑 单元 ,是 一 个 可 区 分 的 动作 ,与 多 个 用 户 相 
关 , 也 可 能 包括 几 个 子 任务 。 授 权 结构 体 是 任务 在 计算 机 中 进行 控制 的 一 个 实例 。 任 务 中 
的 子 任务 对 应 于 授权 结构 体 中 的 授权 步 。 

(2) 授权 结构 体 (Authorization Unit) 是 由 一 个 或 多 个 授权 步 组 成 的 结构 体 , 它 们 在 逻 
辑 上 是 联系 在 一 起 的 。 授 权 结构 体 分 为 一 般 授 权 结构 体 和 原子 授权 结构 体 。 一 般 授权 结构 
体内 的 授权 步 依 次 执行 ,原子 授权 结构 体内 部 的 每 个 授权 步 紧密 联系 ,其 中 任何 一 个 授权 步 
失败 都 会 导致 整个 结构 体 的 失败 。 

(3) 授权 步 (Authorization Step) 表 示 一 个 原始 授权 处 理 步 , 是 指 在 一 个 工作 流程 中 对 
处 理 对 象 的 一 次 处 理 过 程 。 授 权 步 是 访问 控制 所 能 控制 的 最 小 单元 ,由 受托 人 集 (Trustee- 
Set) 和 多 个 许可 和 集 (Permissions Set) 组 成 。 

(4) 受托 人 集 是 可 被 授予 执行 授权 步 的 用 户 的 集合 ,许可 集 则 是 受托 人 集 的 成 员 被 授 
予 授权 步 时 拥有 的 访问 许可 。 当 授权 步 初始 化 以 后 ,一 个 来 自 受 托 人 集中 的 成 员 将 被 授予 
授权 步 , 称 这 个 受托 人 为 授权 步 的 执行 委托 者 ,该 受托 人 执行 授权 步 过 程 中 所 需 许可 的 集合 
称 为 执行 者 许可 集 。 授 权 步 之 间或 授权 结构 体 之 间 的 相互 关系 称 为 依赖 (Dependency) , 依 
赖 反映 了 基于 任务 的 访问 控制 的 原则 。 授 权 步 的 状态 变化 一 般 自 我 管理 ,依据 执行 的 条 件 
而 自动 变迁 状态 ,但 有 时 也 可 以 由 管理 员 进行 调配 。 

一 个 工作 流 的 业务 流程 由 多 个 任务 构成 ,而 一 个 任务 对 应 于 一 个 授权 结构 体 , 每 个 授权 
结构 体 由 特定 的 授权 步 组 成 。 授 权 结 构 体 之 间 以 及 授权 步 之 间 通 过 依赖 关系 联系 在 一 起 。 
在 TBAC 中 ,一 个 授权 步 的 处 理 可 以 决定 后 续 授权 步 对 处 理 对 象 的 操作 许可 ,上 述 许 可 和 集 
合 称 为 激活 许可 集 。 执 行者 许可 集 和 激活 许可 集 一 起 称 为 授权 步 的 保护 态 。 

3) 数学 表示 

TBAC 模型 一 般 用 五 元 组 (S,O,P.L,AS) 来 表示 ,其 中 S 表示 主体 ,O 表示 客体 ,P 表 
示 许 可 ,L 表示 生命 期 (Lifecycle) ,AS 表示 授权 步 。 由 于 任务 都 是 有 时 效 性 的 ,因此 在 基于 
任务 的 访问 控制 中 ,用 户 对 于 授予 他 权限 的 使 用 也 是 有 时 效 性 的 。 因 此 , 若 已 是 授权 步 AS 
所 激活 的 权限 ,那么 工 则 是 授权 步 AS 的 存活 期 限 。 在 授权 步 AS 被 激活 之 前 , 它 的 保护 态 
是 无 效 的 ,其 中 包含 的 许可 不 可 使 用 。 当 授权 步 AS 被 触发 时 , 它 的 委托 执行 者 开始 拥有 执 
行者 许可 集中 的 权限 ,同时 它 的 生命 期 开始 倒计时 。 在 生命 期 期 间 , 五 元 组 (S,O, 忆 , 工 ， 
AS) 有 效 。 生 命 期 终止 时 ,五 元 组 (S,O,P.L,AS) 无 效 , 委 托 执行 者 所 拥有 的 权限 被 回收 。 

4) 原理 

TBAC 的 访问 政策 及 其 内 部 组 件 关系 一 般 由 系统 管理 员 直 接 配置 。 通 过 授权 步 的 动 
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态 权限 管理 ,TBAC 支持 最 小 特权 原则 和 最 小 泄露 原则 ,在 执行 任务 时 只 给 用 户 分 配 所 需 
的 权限 ,未 执行 任务 或 任务 终止 后 用 户 不 再 拥有 所 分 配 的 权限 。 而 且 在 执行 任务 过 程 中 , 当 
某 一 权限 不 再 使 用 时 ,授权 步 自 动 将 该 权限 回收 。 另 外 ,对 于 敏感 的 任务 需要 不 同 的 用 户 执 
行 ,这 可 通过 授权 步 之 间 的 分 权 依赖 实现 。 

TBAC 从 工作 流 中 的 任务 角度 建 模 , 可 以 依据 任务 和 任务 状态 的 不 同 对 权限 进行 动态 
管理 。 因 此 ,TBAC 非常 适合 分 布 式 计算 和 多 点 访问 控制 的 信息 处 理 控制 以 及 在 工作 流 、 
分 布 式 处 理 和 事务 管理 系统 中 的 决策 制定 。 


3. 基于 角色 的 访问 控制 模型 


基于 角色 的 访问 控制 模型 (Role-Based Access Model,RBAC Model) 的 基本 思想 是 将 
访问 许可 权 分 配给 一 定 的 角色 ,用 户 通过 饰演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 权 。 
这 是 因为 在 很 多 实际 应 用 中 ,用 户 并 不 是 可 以 访问 的 客体 信息 资源 的 所 有 者 (这 些 信 息 属 于 
企业 或 公司 ) ,这 样 的 话 ,访问 控制 应 该 基于 员工 的 职务 而 不 是 基于 员工 在 哪个 组 或 者 谁 是 
信息 的 所 有 者 , 即 访问 控制 是 由 各 个 用 户 在 部 门 中 所 担任 的 角色 来 确定 的 。 例 如 ,一 个 学 校 
可 以 有 教工 .老师 ,学生 和 其 他 管理 人 员 等 角色 。 

RBAC 从 控制 主体 的 角度 出 发 ,根据 管理 中 相对 稳定 的 职权 和 责任 来 划分 角色 ,将 访问 
权限 与 角色 相 联系 ,这 点 与 传统 的 MAC 和 DAC 将 权限 直接 授予 用 户 的 方式 不 同 。 通 过 给 
用 户 分 配合 适 的 角色 ,让 用 户 与 访问 权限 相 联系 。 角 色 成 为 访问 控制 中 访问 主体 和 受 控 对 
象 之 间 的 一 座 桥梁 。 

角色 可 以 看 作 是 一 组 操作 的 集合 ,不 同 的 角色 具有 不 同 的 操作 集 , 这 些 操 作 集 由 系统 管 
理 员 分 配给 角色 。 在 下 面 的 实例 中 ,假设 Tchl, Tch2, Tch3,…, Tchi 是 对 应 的 教师 ， 
Stud1,Stud2,Stud3,…,Studj 是 相应 的 学 生 , Mngl,Mng2,Mng3,… ,Mngk 是 教务 处 管理 
人 员 ,那么 老师 的 权限 为 TchMN== {查询 成 绩 、 上 传 所 教 课程 的 成 绩 }; 学 生 的 权限 为 
Stud MN 二 {查询 成 绩 \ 反 映 意 见 ) ; 教务 管理 人 员 的 权限 为 MngMN 二 {查询 ,修改 成 绩 、 打 
印 成 绩 清 单 } 。 那 么 ,依据 角色 的 不 同 ,每 个 主体 只 能 执行 自己 所 制定 的 访问 功能 。 用 户 在 
一 定 的 部 门 中 具有 一 定 的 角色 ,其 所 执行 的 操作 与 其 所 扮演 的 角色 的 职能 相 匹 配 ,这 正 是 基 
于 角色 的 访问 控制 (RBAC) 的 根本 特征 , 即 依据 RBAC 策略 ,系统 定义 了 各 种 角色 ,每 种 角 
色 可 以 完成 一 定 的 职能 ,不 同 的 用 户 根 据 其 职能 和 责任 被 赋予 相应 的 角色 ,一 旦 某 个 用 户 成 
为 某 角色 的 成 员 , 则 此 用 户 可 以 完成 该 角色 所 具有 的 职能 。 


@.4 VPN 技术 


本 节 将 介绍 VPN 的 技术 。 
4.4.1 VPN 概述 
1. VPN 定义 


虚拟 专用 网 络 (Virtual Private Network,VPN) 指 的 是 在 公用 网 络 上 建立 专用 网 络 的 
技术 。 之 所 以 称 为 虚拟 网 ,主要 是 因为 整个 VPN 的 任意 两 个 节点 之 间 的 连接 并 没有 传统 
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专 网 所 需 的 端 到 端的 物理 链 路 ,而 是 架构 在 公用 网 络 服务 商 所 提供 的 网 络 平台 , 如 
Internet、.ATM( 异 步 传 输 模 式 ) .Frame Relay( 帧 中 继 ) 等 之 上 的 逻辑 网 络 , 用 户 数据 在 逻辑 
链 路 中 传输 。 它 涵盖 了 跨 共享 网 络 或 公共 网 络 的 封装 、 加 密 和 身份 验证 链接 的 专用 网 络 的 
扩展 。VPN 主要 采用 了 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技 术 和 使 用 者 与 设备 身份 认证 
技术 。 

VPN 属于 远程 访问 技术 ,简单 地 说 就 是 利用 公 网 链 路 架设 私有 网 络 。 例 如 公司 员工 出 
差 到 外 地 ,他 想 访问 企业 内 网 的 服务 器 资源 ,这 种 访问 就 属于 远程 访问 。 怎 么 才能 让 外 地 员 
工 访问 到 内 网 资源 呢 ? VPN 的 解决 方法 是 在 内 网 中 架设 一 台 VPN 服务 器 ,VPN 服务 器 有 
两 块 网 卡 ,一 块 连接 内 网 ; 另 一 块 连接 公 网 。 外 地 员工 在 当地 连 上 互联 网 后 ,通过 互联 网 找 
到 VPN 服务 器 ,然后 利用 VPN 服务 器 作为 跳板 进入 企业 内 网 。 为 了 保证 数据 安全 ,VPN 
服务 器 和 客户 端 之 间 的 通信 数据 都 进行 了 加 密 处 理 。 有 了 数据 加 密 , 就 可 以 认为 数据 是 在 
一 条 专用 的 数据 链 路 上 进行 安全 传输 ,就 如 同 专门 架设 了 一 个 专用 网 络 一 样 。 但 实际 上 
VPN 使 用 的 是 互联 网 上 的 公用 链 路 ,因此 只 能 称 为 虚拟 专用 网 。 即 VPN 实质 上 就 是 利用 
加 密 技 术 在 公 网 上 封装 出 一 个 数据 通信 隧道 。 有 了 VPN 技术 ,用 户 无 论 是 在 外 地 出 差 还 
是 在 家 中 办 公 , 只 要 能 上 互联 网 就 能 利用 VPN 非常 方便 地 访问 内 网 资源 ,这 就 是 为 什么 
VPN 在 企业 中 应 用 得 如 此 广泛 ,如 图 4-8 所 示 。 


图 4-8 VPN 的 原理 


在 传统 的 企业 网 络 配 置 中 ,要 进行 异地 局 域 网 之 间 的 互联 ,传统 的 方法 是 租用 DSN( 数 
字数 据 网 ) 专 线 或 帧 中 继 。 这 样 的 通信 方案 必然 导致 高 昂 的 网 络 通信 /维护 费用 。 对 于 移动 
用 户 ( 移 动 办 公 人 员 ) 与 远 端 个 人 用 户 而 言 ,一 般 通过 拨号 线路 (Internet) 进 入 企业 的 局 域 
网 ,而 这 样 必然 带 来 安全 上 的 隐患 。 


2. 虚拟 专用 网 的 优点 


(1) 降低 成 本 。 通 过 公用 网 来 建立 VPN ,就 可 以 节省 大 量 的 通信 费用 ,而 不 必 投 入 大 
量 的 人 力 和 物力 去 安装 和 维护 WAN( 广 域 网 ) 设 备 和 远程 访问 设备 。 

(2) 传输 数据 安全 可 靠 。 虚 拟 专用 网 产品 均 采用 加 密 及 身份 验证 等 安全 技术 ,保证 连 
接 用 户 的 可 靠 性 及 传输 数据 的 安全 和 保密 性 。 

(3) 连接 方便 灵活 。 用 户 如 果 想 与 合作 伙伴 联网 ,如 果 没有 虚拟 专用 网 ,双方 的 信息 技 
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术 部 门 就 必须 协商 如 何在 双方 之 间 建 立 租用 线路 或 帧 中 继 线 路 ,而 有 了 虚拟 专用 网 之 后 ,只 
需 双方 配置 安全 连接 信息 即 可 。 

(4) 完全 控制 。 虚 拟 专用 网 使 用 户 可 以 利用 ISP 的 设施 和 服务 ,同时 又 完全 掌握 着 自 
己 网 络 的 控制 权 。 用 户 只 利用 ISP 提供 的 网 络 资源 ,对 于 其 他 的 安全 设置 .网 络 管理 变化 可 
由 自己 管理 。 在 企业 内 部 也 可 以 自己 建立 虚拟 专用 网 。 


3. VPN 的 特点 


(1) 安全 保障 。VPN 通过 建立 一 个 隧道 ,利用 加 密 技 术 对 传输 数据 进行 加 密 , 以 保证 
数据 的 私有 性 和 安全 性 。 

(2) 服务 质量 保证 。VPN 可 以 为 不 同 要 求 用 户 提 供 不 同等 级 的 服务 质量 保证 。 

(3) 可 扩充 .灵活 性 。VPN 支持 通过 Internet 和 Extranet 的 任何 类 型 的 数据 流 。 

(4) 可 管理 性 。VPN 可 以 从 用 户 和 运营 商 角 度 方便 进行 管理 。 


4. VPN 的 要 求 


(1) 安全 性 。VPN 提供 给 用 户 一 种 私人 专用 (Private) 的 感觉 ,因此 建立 在 不 安全 ,不 
可 信任 的 公共 数据 网 的 首要 任务 是 解决 安全 性 问题 。VPN 的 安全 性 可 通过 隧道 技术 、 加 密 
和 认证 技术 得 到 解决 。 在 Intranet VPN 中 ,要 有 高 强度 的 加 密 技术 来 保护 敏感 信息 ; 在 远 
程 访问 VPN 中 要 有 对 远程 用 户 可 靠 的 认证 机 制 。 

(2) 性 能 。VPN 要 发 展 其 性 能 至 少 不 应 该 低 于 传统 方法 。 尽 管 网 络 速度 不 断 提 高 ,但 
在 Internet 时 代 , 随 着 电子 商务 活动 的 激增 ,网 络 拥塞 经 常 发 生 ,这 给 VPN 性 能 的 稳定 带 来 
极 大 的 影响 。 因 此 VPN 解决 方案 应 能 够 让 管理 员 进行 通信 控制 来 确保 其 性 能 。 通 过 VPN 
平台 ,管理 员 定 义 管理 政策 来 激活 基于 重要 性 的 出 入 口 带宽 分 配 。 这 样 既 能 确保 对 数据 丢 
失 有 严格 要 求 和 高 优先 级 应 用 的 性 能 ,又 不 会 “ 饿 死 ” 低 优先 级 的 应 用 。 

(3) 管理 问题 。 由 于 网 络 设施 、 应 用 不 断 增加 ,网 络 用户 所 需 的 IP 地 址 数量 持续 增长 ， 
对 越 来 越 复杂 的 网 络 管理 ,网 络 安全 处 理 能 力 的 大 小 是 VPN 解决 方案 好 坏 的 至 关 紧 要 的 
区 分 。VPN 是 公司 对 外 的 延伸 ,因此 VPN 要 有 一 个 固定 管理 方案 以 减轻 管理 报告 等 方面 
负担 。 管 理 平台 要 有 一 个 定义 安全 政策 的 简单 方法 ,将 安全 政策 进行 分 布 ,并 管理 大 量 
设备 。 

(4) 互 操作 。 在 Extranet VPN 中 ,企业 要 与 不 同 客户 及 供应 商 建立 联系 ,VPN 解决 方 
案 也 会 不 相同 。 因 此 ,企业 VPN 应 该 能 够 同 其 他 厂家 的 产品 进行 互 操 作 , 这 就 要 求 所 选择 
的 VPN 方案 符合 工业 标准 和 协议 。 这 些 协议 有 IPSec、 点 对 点 隧道 协议 (Point to Point 
Tunneling Protocol,PPTP) .第 二 层 隧道 协议 (Layer 2 Tunneling Protocol,L2TP) 等 。 


5. VPN 的 分 类 


根据 不 同 的 划分 标准 ,VPN 可 以 分 为 下 面 几 类 。 

1) 按 VPN 的 协议 分 类 

VPN 的 隧道 协议 主要 有 三 种 : PPTP、L2TP 和 IPSec, 其 中 PPTP 和 L2TP 协 议 工 作 在 
OSI 模型 的 第 二 层 ,又 称 为 二 层 隧 道 协议 ; IPSec 是 第 三 层 隧道 协议 ,也 是 最 常见 的 协议 。 
L2TP 和 IPSec 配合 使 用 是 目前 性 能 最 好 ,应 用 最 广泛 的 一 种 。 
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2) 按 VPN 的 应 用 分 类 

(1) Access VPN( 远 程 接 入 VPN): 客户 端 到 网 关 , 使 用 公 网 作为 骨干 网 在 设备 之 间 传 
输 VPN 的 数据 流量 。 

(2) Intranet VPN( 内 联网 VPN): 网 关 到 网 关 , 通 过 公司 的 网 络 架 构 连接 来 自 同 公 司 
的 资源 。 

(3) Extranet VPN( 外 联网 VPN) : 与 合作 伙伴 企业 网 构成 Extranet, 将 一 个 公司 与 另 
一 个 公司 的 资源 进行 连接 。 

3) 按 所 用 的 设备 类 型 进行 分 类 

网 络 设备 提供 商 针对 不 同 客户 的 需求 ,开发 出 不 同 的 VPN 网 络 设 备 、 主 要 为 交换 机 、 
路 由 器 和 防火 墙 。 

(1) 路 由 器 式 VPN: 部 署 较 容 易 , 只 要 在 路 由 器 上 添加 VPN 服务 即 可 。 

(2) 交换 机 式 VPN: 主要 应 用 于 连接 用 户 较 少 的 VPN 网 络 。 

(3) 防火 墙 式 VPN: 最 常见 的 一 种 VPN 的 实现 方式 ,许多 厂商 都 提供 这 种 配置 类 型 。 


6. VPN 的 实现 方式 


VPN 的 实现 有 很 多 种 方法 ,常用 的 有 以 下 四 种 : 

(1) VPN 服务 器 。 在 大 型 局 域 网 中 ,可 以 在 网 络 中心 通 过 搭建 VPN 服务 器 的 方法 来 
实现 。 

(2) VPN 软件 。 可 以 通过 专用 的 软件 来 实现 VPN。 

(3) VPN 硬件 。 可 以 通过 专用 的 硬件 来 实现 VPN。 

(4) VPN 集成 。 很 多 的 硬件 设备 ,如 路 由 器 ,防火 墙 等 都 含有 VPN 功能 ,但 是 一 般 拥 
有 VPN 功能 的 硬件 设备 通常 都 比 没有 这 一 功能 的 要 贵 。 


4.4.2 VPN 技术 


基于 公共 网 的 VPN 通过 隧道 技术 ,数据 加 密 技术 以 及 QoS 机 制 ,使 得 企业 能 够 降低 成 
本 、 提 高 效率 、 增 强 安 全 性 。VPN 产品 从 第 一 代 的 VPN 路 由 器 、 交 换 机 发 展 到 第 二 代 的 
VPN 集中 器 ,性 能 不 断 得 到 提高 。 


1. 隧道 技术 


隧道 技术 简单 地 说 就 是 原始 报 文 在 A 地 进行 封装 ,到 达 B 地 后 把 封装 去 掉 还 原 成 原始 
报 文 ,这 样 就 形成 了 一 条 由 A 到 B 的 通信 和 隧道。 目前 实现 隧道 技术 的 有 一 般 路 由 封装 
(Generic Routing Encapsulation,GRE) \L2TP 和 PPTP。 

1) 一 般 路 由 封装 

GRE 主要 用 于 源 路 由 和 终 路 由 之 间 所 形成 的 隧道 。 例 如 ,将 通过 隧道 的 报 文 用 一 个 新 
的 报 文 头 (GRE 报 文 头 ) 进 行 封装 ,然后 带 着 隧道 终点 地 址 放 入 隧道 中 。 当 报 文 到 达 隧 道 终 
点 时 ,GRE 报 文 头 被 剥 掉 , 继 续 原始 报 文 的 目标 地 址 进行 寻 址 。GRE 隧道 通常 是 点 对 点 
的 , 即 隧道 只 有 一 个 源 地 址 和 一 个 终 地 址 。 然 而 也 有 一 些 实现 允许 点 对 多 点 , 即 一 个 源 地 址 
对 多 个 终 地 址 。 这 时 候 就 要 和 下 一 跳 路 由 协议 (Next-Hop Routing Protocol, NHRP) 结 合 
使 用 。NHRP 主要 是 为 了 在 路 由 之 间 建 立 捷径 。 
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GRE 隧道 用 来 建立 VPN 有 很 大 的 优势 。 从 体系 结构 的 观点 来 看 ,VPN 就 像 是 通过 普 
通 主机 网 络 的 隧道 集合 。 普 通 主 机 网 络 的 每 个 点 都 可 利用 其 地 址 以 及 路 由 所 形成 的 物理 连 
接 ,配置 成 一 个 或 多 个 隧道 。 在 GRE 隧道 技术 中 ,入 口 地 址 用 的 是 普通 主机 网 络 的 地 址 空 
间 ,而 在 隧道 中 流动 的 原始 报 文 用 的 是 VPN 的 地 址 空间 ,这 样 反 过 来 就 要 求 隧道 的 终点 应 
该 配置 成 VPN 与 普通 主机 网 络 之 间 的 交界 点 。 这 种 方法 的 好 处 是 使 VPN 的 路 由 信息 从 
普通 主机 网 络 的 路 由 信息 中 隔离 出 来 ,多 个 VPN 可 以 重复 利用 同一 个 地 址 空间 而 没有 冲 
突 ,这 使 得 VPN 从 主机 网 络 中 独立 出 来 ,从 而 满足 了 VPN 的 关键 要 求 : 可 以 不 使 用 全 局 唯 
一 的 地 址 空间 。 隧 道 也 能 封装 数量 众多 的 协议 族 ,减少 实现 VPN 功能 函数 的 数量 。 还 有 ， 
对 许多 VPN 所 支持 的 体系 结构 来 说 ,用 同一 种 格式 来 支持 多 种 协议 同时 又 保留 协议 的 功 
能 ,这 是 非常 重要 的 。IP 路 由 过 滤 的 主机 网 络 不 能 提供 这 种 服务 ,而 只 有 隧道 技术 才能 把 
VPN 私有 协议 从 主机 网 络 中 隔离 开 来 。 基 于 隧道 技术 的 VPN 实现 的 另 一 个 特点 是 对 主机 
网 络 环境 和 VPN 路 由 环境 进行 隔离 。 对 VPN 而 言 , 主 机 网 络 可 看 成 点 对 点 的 电路 集合 ， 
VPN 能 够 用 其 路 由 协议 穿 过 符合 VPN 管理 要 求 的 虚拟 网 。 同 样 ,主机 网 络 用 符合 网 络 要 
求 的 路 由 设计 方案 ,而 不 必 受 VPN 用 户 网 络 的 路 由 协议 限制 。 

虽然 GRE 隧道 技术 有 很 多 优点 ,但 用 其 技术 作为 VPN 机 制 也 有 缺点 ,例如 管理 费用 
高 .隧道 的 规模 数量 大 等 。 因 为 GRE 是 由 手工 配置 的 ,所 以 配置 和 维护 隧道 所 需 的 费用 和 
隧道 的 数量 是 直接 相关 的 一 一 每 次 隧道 的 终点 改变 ,隧道 要 重新 配置 。 隧 道 也 可 自动 配置 ， 
但 有 缺点 ,如 不 能 考虑 相关 路 由 信息 ,性 能 问题 以 及 容易 形成 回路 问题 。 一 旦 形成 回路 ,会 
极 大 地 恶化 路 由 的 效率 。 除 此 之 外 ,通信 分 类 机 制 是 通过 一 个 好 的 粒度 级 别 来 识别 通信 类 
型 。 如 果 通 信 分 类 过 程 是 通过 识别 报 文 (进入 隧道 前 的 ) 进 行 的 话 ,就 会 影响 路 由 发 送 速率 
的 能 力 及 服务 性 能 。 

GRE 隧道 技术 是 用 在 路 由 器 中 的 ,可 以 满足 Extranet VPN 以 及 Intranet VPN 的 需 
求 。 但 是 在 远程 访问 VPN 中 ,多 数 用 户 是 采用 拨号 上 网 ,这 时 可 以 通过 L2TP 和 PPTP 
实现 。 

2) L2TP 和 PPTP 

隧道 是 利用 一 种 协议 传输 另 一 种 协议 的 技术 , 即 用 隧道 协议 来 实现 VPN 功能 。 实 现 
VPN 的 最 关键 部 分 是 在 公 网 上 建立 虚 信道 ,而 建立 虚 信 道 是 利用 隧道 技术 实现 的 ,IP 隧道 
的 建立 可 以 是 在 链 路 层 和 网 络 层 。 第 二 层 隧 道 主要 是 PPP 连接 ,如 PPTP、L2TP, 其 特点 
是 协议 简单 ,易于 加 密 , 适 合 远程 拨号 用 户 。 第 三 层 隧道 是 IPinIP, 如 IPSec, 其 可 靠 性 及 扩 
展 性 优 于 第 二 层 隧道 ,但 没有 前 者 简单 直接 。 为 创建 隧道 .隧道 的 客户 端 和 服务 器 必须 使 用 
同样 的 隧道 协议 。 

(1) PPTP。PPTP 是 一 种 用 于 让 远程 用 户 拨号 连接 到 本 地 的 ISP, 通 过 因特网 安全 远 
程 访问 公司 资源 的 新 型 技术 。 它 能 将 PPP( 点 对 点 协议 ) 帧 封装 成 IP 数据 包 , 以 便 能 够 在 基 
于 JP 的 互联 网 上 进行 传输 。PPTP 使 用 TCP( 传 输 控制 协议 ) 连 接 创 建 ,维护 与 终止 隧道 ， 
并 使 用 GRE( 通 用 路 由 封装 ) 将 PPP 帧 封装 成 隧道 数据 。 被 封装 后 的 PPP 帧 的 有 效 载荷 可 
以 被 加 密 或 压缩 ,或 者 同时 被 加 密 与 压缩 。 

(2) L2TP 协议 。L2TP 是 PPTP 与 L2F( 第 二 层 转发 ) 的 一 种 综合 ,是 由 思科 公司 所 推 
出 的 一 种 技术 。 

(3) IPSec 协议 。IPSec 是 一 个 标准 的 第 三 层 安 全 协议 , 它 是 在 隧道 外 面 再 封装 ,保证 
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了 在 传输 过 程 中 的 安全 。IPSec 的 主要 特征 在 于 它 可 以 对 所 有 IP 级 的 通信 进行 加 密 。 

L2TP 是 L2F(Layer 2 Forwarding) 和 PPTP 的 结合 。 但 是 由 于 PC 的 桌面 操作 系统 包 
含 着 PPTP, 因 此 PPTP 仍 比 较 流行 。 隧 道 的 建立 有 两 种 方式 :“ 用 户 初始 化 ”隧道 和 
“NAS”(Network Access Server) 初 始 化 隧道 。 前 者 一 般 指 “主动 "隧道 ,后 者 指 “ 强 制 隧 
道 。“ 主 动 "隧道 是 用 户 为 某 种 特定 目的 的 请 求 建立 的 ,而 “强制 "隧道 则 是 在 没有 任何 来 自 
用 户 的 动作 以 及 选择 的 情况 下 建立 的 。 

L2TP 作为 “强制 ?隧道 模型 是 让 拨号 用 户 与 网 络 中 的 另 一 点 建立 连接 的 重要 机 制 。 建 
立 过 程 如 下 : 

(1) 用 户 通过 Modem 与 NAS 建立 连接 。 

(2) 用 户 通 过 NAS 的 L2TP 接 入 服务 器 身份 认证 。 

(3) 在 政策 配置 文件 或 NAS 与 政策 服务 器 进行 协商 的 基础 上 ,NAS 和 L2TP 接 入 服 
务 器 动态 地 建立 一 条 L2TP 隧道 。 

(4) 用 户 与 L2TP 接 入 服务 器 之 间 建 立 一 条 点 对 点 协议 访问 服务 隧道 。 

(5) 用 户 通过 该 隧道 获得 VPN 服务 。 

与 之 相反 的 是 , PPTP 作为 “主动 隧道 模型 允许 终端 系统 进行 配置 ,与 任意 位 置 的 
PPTP 服务 器 建立 一 条 不 连续 的 、 点 对 点 的 隧道 。 并 且 PPTP 协商 和 隧道 建立 过 程 都 没有 
中 间 媒 介 NAS 的 参与 ,NAS 的 作用 只 是 提供 网 络 服务 。PPTP 建立 过 程 如 下 : 

(1) 用 户 通过 串口 以 拨号 IP 访问 的 方式 与 NAS 建立 连接 取得 网 络 服务 。 

(2) 用 户 通过 路 由 信息 定位 PPTP 接 人 服务 器 。 

(3) 用 户 形成 一 个 PPTP 虚拟 接口 。 

(4) 用 户 通过 该 接口 与 PPTP 接 入 服务 器 协商 、 认 证 建立 一 条 PPP 访问 服务 隧道 。 

(5) 用 户 通过 该 隧道 获得 VPN 服务 。 

在 L2TP 中 ,用 户 感觉 不 到 NAS 的 存在 ,仿佛 与 PPTP 接 入 服务 器 直接 建立 连接 。 而 
在 PPTP 中 ,PPTP 隧道 对 NAS 是 透明 的 ; NAS 不 需要 知道 PPTP 接 入 服务 器 的 存在 ,只 
是 简单 地 把 PPTP 流量 作为 普通 IP 流量 处 理 。 

采用 L2TP 还 是 PPTP 实现 VPN 取决 于 要 把 控制 权 放 在 NAS 还 是 用 户 手中 。L2TP 
比 PPTP 更 安全 ,因为 L2TP 接 入 服务 器 能 够 确定 用 户 是 从 哪里 来 的 。L2TP 主要 用 于 比 
较 集中 的 、 固 定 的 VPN 用 户 , 而 PPTP 比较 适合 移动 的 用 户 。 


2. 加 解密 技术 


加 解密 技术 是 数据 通信 中 一 项 较 成 熟 的 技术 ,VPN 可 直接 利用 现 有 技术 实现 加 解密 。 

数据 加 密 的 基本 思想 是 通过 变换 信息 的 表示 形式 来 伪装 需要 保护 的 敏感 信息 ,使 非 受 
权 者 不 能 了 解 被 保护 信息 的 内 容 。 加 密 算法 有 用 于 Windows 95 的 RC4、 用 于 IPSec 的 
DES 和 三 次 DES。RC4 虽然 强度 比较 弱 , 但 是 保护 免 于 非 专业 人 士 的 攻击 已 经 足够 了 ; 
DES 和 三 次 DES 强度 比较 高 ,可 用 于 敏感 的 商业 信息 。 

加 密 技术 可 以 在 协议 栈 的 任意 层 进行 ,可 以 对 数据 或 报 文 头 进行 加 密 。 在 网 络 层 中 的 
加 密 标准 是 IPSec。 网 络 层 加 密实 现 的 最 安全 方法 是 在 主机 的 端 到 端 进行 。 另 一 个 选择 是 
“隧道 模式 ”: 加 密 只 在 路 由 器 中 进行 ,而 终端 与 第 一 跳 路 由 之 间 不 加 密 。 这 种 方法 不 太 安 
全 ,因为 数据 从 终端 系统 到 第 一 条 路 由 时 可 能 被 截取 而 危及 数据 安全 。 终 端 到 终端 的 加 密 
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方案 中 ,VPN 安全 粒度 达到 个 人 终端 系统 的 标准 ; 而 “隧道 模式 ”方案 ,VPN 安全 力度 只 达 
到 子 网 标准 。 在 链 路 层 中 ,目前 还 没有 统一 的 加 密 标 准 , 因 此 所 有 链 路 层 加 密 方案 基本 上 是 
生产 厂家 自己 设计 的 ,需要 特别 的 加 密 硬件 。 


3. QoS 技术 


在 网 络 中 ,服务 质量 (QoS) 是 指 所 能 提供 的 带宽 级 别 。 将 QoS 融入 一 个 VPN, 使 得 管 
理 员 可 以 在 网 络 中 完全 控制 数据 流 。 信 息 包 分 类 和 带宽 管理 是 两 种 可 以 实现 控制 的 方法 。 
信息 包 分 类 按 重 要 性 将 数据 分 组 。 数 据 越 重要 , 它 的 级 别 越 高 。 当 然 , 它 的 操作 也 会 优先 于 
同 网 络 中 相对 次 要 的 数据 。 通 过 带宽 管理 ,一 个 VPN 管理 员 可 以 监控 网 络 中 所 有 输入 输 
出 的 数据 流 , 可 以 允许 不 同 的 数据 包 类 获得 不 同 的 带宽 。 

通过 隧道 技术 和 加 密 技 术 , 已 经 能 够 建立 起 一 个 具有 安全 性 \ 互 操作 性 的 VPN。 但 是 
该 VPN 在 性 能 上 不 稳定 ,管理 上 不 能 满足 企业 的 要 求 ,这 就 要 加 入 QoS 技术 。 实 行 QoS 
应 该 在 主机 网 络 中 , 即 VPN 所 建立 的 隧道 这 一 段 , 这 样 才能 建立 一 条 性 能 符合 用 户 要 求 的 
隧道 。 不 同 的 应 用 对 网 络 通 信 有 不 同 的 要 求 ,这 些 要 求 可 用 如 下 参数 给 予 体现 。 

。 带宽 : 网 络 提 供给 用 户 的 传输 率 。 

。 反应 时 间 : 用 户 所 能 容忍 的 数据 报 传递 延 时 。 

。 抖动 : 延 时 的 变化 。 

。 丢失 率 : 数据 包 丢失 的 比率 。 

网 络 资源 是 有 限 的 ,有 时 用 户 要 求 的 网 络 资源 得 不 到 满足 ,通过 QoS 机 制 对 用 户 的 网 
络 资源 分 配 进行 控制 以 满足 应 用 的 需求 。QoS 机 制 具 有 通信 处 理 机 制 以 及 供应 (Provisioning) 
和 配置 (Configuration) 机 制 。 通 信人 处理 机 制 包括 802. 1p、 区 分 服务 (Differentiated Service 
Per-Hop-Behaviors,DiffServ) 和 综合 服务 (Integrated Services, IntServ) 等 。 现 在 大 多 数 局 
域 网 是 基于 IEEE 802 技术 的 ,如 以 太 网 , 令 牌 环 和 FDDI 等 ,802. 1p 为 这 些 局 域 网 提供 了 
一 种 支持 QoS 的 机 制 。802. 1p 对 链 路 层 的 802 报 文 定义 了 一 个 可 表达 8 种 优先 级 的 字段 。 
802. 1p 优先 级 只 在 局 域 网 中 有 效 ,一 旦 出 了 局 域 网 ,通过 第 三 层 设备 时 就 被 移 走 。DiffServ 
则 是 第 三 层 的 QoS 机 制 , 它 在 IP 报 文中 定义 了 一 个 字段 称 为 DSCP(DiffServ Codepoint) 。 
DSCP 有 6 位 ,用 作 服 务 类 型 和 优先 级 ,路 由 器 通过 它 对 报 文 进行 排队 和 调度 。 与 802. 1p、 
DiffServ 不 同 的 是 ,IntServ 是 一 种 服务 框架 ,目前 有 两 种 : 保证 服务 和 控制 负载 服务 。 保 证 
服务 许诺 在 保证 的 延 时 下 传输 一 定 的 通信 量 ; 控制 负载 服务 则 同意 在 网 络 轻 负 载 的 情况 下 
传输 一 定 的 通信 量 。 典 型 地 , IntServ 与 资源 预 留 协议 (Resource Reservation Protocol， 
RSVP) 相 关 。IntServ 服务 定义 了 人 允许 进入 的 控制 算法 ,决定 多 少 通信 量 被 允许 进入 网 络 中 。 

供应 和 配置 机 制 包括 RSVP、 子 网 带宽 管理 (Subnet Bandwidth Manager, SBM) ,政策 
机 制 和 协议 以 及 管理 工具 和 协议 。 这 里 供应 机 制 指 的 是 比较 静态 的 、 比 较 长 期 的 管理 任务 ， 
如 网 络 设备 的 选择 、 网 络 设备 的 更 新 、 接 口 添加 删除 ,拓扑 结构 的 改变 等 。 而 配置 机 制 指 的 
是 比较 动态 、 比 较 短期 的 管理 任务 ,如 流量 处 理 的 参数 。 

RSVP 是 第 三 层 协议 , 它 独立 于 各 种 的 网 络 媒介 。 因 此 ,RSVP 往往 被 认为 是 介 于 应 用 
层 (或 操作 系统 ) 与 特定 网 络 媒介 QoS 机 制 之 间 的 一 个 抽象 展 。RSVP 有 两 个 重要 的 消息 : 
PATH 消息 ,从 发 送 者 到 接收 者 ; RESV 消息 ,从 接收 者 到 始 发 者 。RSVP 消息 包含 如 下 


信息 : 


第 4 章 计算 机 网 络 安全 


(1) 网 络 如 何 识别 一 个 会 话 流 ( 分 类 信息 ); 

(2) 描述 会 话 流 的 定量 参数 (如 数据 率 ); 

(3) 要 求 网 络 为 会 话 流 提 供 的 服务 类 型 ; 

(4) 政策 信息 (如 用 户 标识 ) 。 

RSVP 的 工作 流程 如 下 : 

(1) 会 话 发 送 者 首先 发 送 PATH 消息 ,沿途 的 设备 若 支持 RSVP 则 进行 处 理 ,否则 继 

(2) 设备 若 能 满足 资源 要 求 , 并 且 符 合 本 地 管理 政策 的 话 , 则 进行 资源 分 配 ,PATH 消 
息 继 续 发 送 ,否则 向 发 送 者 发 送 拒绝 消息 。 

(3) 会 话 接收 者 若 对 发 送 者 要 求 的 会 话 流 认同 , 则 发 送 RESV 消息 ,否则 发 送 拒绝 
消息 。 

(4) 当 发 送 者 收 到 RESYV 消息 时 ,表示 可 以 进行 会 话 , 和 否则 表示 失败 。 

SBM 是 对 RSVP 功能 的 加 强 ,扩大 了 对 共享 网 络 的 利用 。 在 共享 子 网 或 LAN 中 包含 
大 量 交换 机 和 网 络 集线器 ,因此 标准 的 RSVP 对 资源 不 能 充分 利用 。 支 持 RSVP 的 主机 和 
路 由 器 同意 或 拒绝 会 话 流 是 基于 它们 个 人 有 效 的 资源 ,而 不 是 基于 全 局 有 效 的 共享 资源 。 
结果 ,共享 子 网 的 RSVP 请 求 导致 局 部 资源 的 负载 过 重 。SBM 可 以 解决 这 个 问题 : 协调 智 
能 设备 。 包 括 具 有 SBM 能 力 的 主机 、 路 由 器 以 及 交换 机 。 这 些 设备 自动 运行 选举 协议 , 选 
出 最 合适 的 设备 作为 DSBM(Designated SBM) 。 当 交换 机 参与 选举 时 ,它们 会 根据 第 二 层 
的 拓扑 结构 对 子 网 进行 分 割 。 主 机 和 路 由 器 发 现 最 近 的 DSBM 并 把 RSVP 消息 发 送 给 它 。 
然后 ,DSBM 查看 所 有 消息 来 影响 资源 的 分 配 并 提供 允许 进入 控制 机 制 。 

网 络 管理 员 基 于 一 定 的 政策 进行 QoS 机 制 配置 。 政 策 组 成 部 分 包括 政策 数据 ,如 用 户 
名 ; 有 权 使 用 的 网 络 资源 ; 政策 决定 点 (Policy Decision Point, PDP); 政策 加 强 点 (Policy 
Enforcement Point,PEP) 以 及 它们 之 间 的 协议 。 传 统 的 由 上 而 下 (TopDown) 的 政策 协议 
包括 简单 网 络 管理 协议 (Simple Network Management Protocol, SNMP) 、 命 令 行 接口 
(Command Line Interface, CLI) 和 命令 开放 协议 服务 (Command Open Protocol Services， 
COPS) 等 。 这 些 QoS 机 制 相互 作用 使 网 络 资源 得 到 最 大 化 利用 ,同时 又 向 用 户 提 供 了 一 个 
性 能 良好 的 网 络 服务 。 


人 5 计算 机 病毒 及 防治 
本 节 将 介绍 计算 机 病毒 概念 .危害 及 防范 。 
4.5.1 计算 机 病毒 概述 


1. 计算 机 病毒 的 概念 


计算 机 病毒 (Computer Virus) 是 一 种 人 为 编制 能 够 对 计算 机 正常 程序 的 执行 或 数据 文 
件 造成 破坏 ,并 且 能 够 自我 复制 的 一 组 指令 程序 代码 。 

国务 院 颁 布 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 以 及 公安 部 出 台 的 《 计 
算 机 病毒 防治 管理 办 法 ) 将 计算 机 病毒 均 定 义 如 下 : 计算 机 病毒 ,是 指 编制 或 者 在 计算 机 程 
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序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指 
令 或 者 程序 代码 。 这 是 目前 官方 最 权威 的 关于 计算 机 病毒 的 定义 ,此 定义 也 被 目前 通行 的 
《计算 机 病毒 防治 产品 评级 准则 ) 的 国家 标准 所 采纳 。 

随 着 信息 化 社会 的 发 展 ,计算 机 病毒 的 威胁 日 益 严 重 , 反 病毒 的 任务 也 更 加 艰巨 了 。 
1988 年 11 月 2 日 下 午 5 时 1 分 59 秒 ,美国 康 奈 尔 大 学 的 计算 机 科学 系 研究 生 英 里 斯 
(Morris) 将 其 编写 的 蠕虫 程序 输入 计算 机 网 络 , 致 使 数 万 台 计 算 机 网 络 瘫痪 ,造成 9000 万 
美元 的 损失 。 近 几 年 ,破坏 性 大 的 大 规模 爆发 病毒 屡见不鲜 。1999 年 爆发 的 “ 梅 丽 莎 " 病 毒 
第 一 天 就 感染 了 超过 6000 台 计 算 机 ,造成 的 损失 超过 8000 万 美元 。2003 年 8 月 的 “冲击 
波 ?病毒 造成 了 几 十 亿美 元 的 经 济 损失 。2006 年 年 底 爆 发 的 “熊猫 烧香 ”病毒 造成 了 难以 估 
量 的 损失 。2008 年 的 “扫荡 波 ” 病 毒 让 大 量 的 局 域 网 崩溃 。 


2. 计算 机 病毒 的 特点 


计算 机 病毒 具有 以 下 6 个 特点 。 

(1) 繁殖 性 。 计 算 机 病毒 可 以 像 生 物 病 毒 一 样 进行 繁殖 , 当 正 常 程序 运行 的 时 候 , 它 也 
进行 自身 复制 ,是 否 具有 繁殖 .感染 的 特征 是 判断 某 段 程序 为 计算 机 病毒 的 首要 条 件 。 

(2) 破坏 性 。 计 算 机 中 毒 后 ,可 能 会 导致 正常 的 程序 无 法 运行 ,把 计算 机 内 的 文件 删除 
或 受到 不 同 程度 的 损坏 。 通 常 表现 为 增删 . 改 . 移 。 

(3) 传染 性 。 传 染 性 是 病毒 的 基本 特征 。 计 算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 
计算 机 扩散 到 未 被 感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 
若 一 台 计 算 机 染 毒 , 如 不 及 时 处 理 , 那 么 病毒 会 在 这 台 计 算 机 上 迅速 扩散 。 计 算 机 病毒 可 通 
过 各 种 可 能 的 渠道 ,如 软盘 硬盘、 移动 硬盘 .计算 机 网 络 去 传染 其 他 的 计算 机 。 是 否 具有 传 
染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 

(4) 潜伏 性 。 有 些 病毒 什么 时 间 发 作 是 预先 设计 好 的 。 计 算 机 病毒 程序 进入 系统 之 后 
一 般 不 会 马上 改作, 一旦 时 机 成 熟 才 会 改作。 潜伏 性 的 第 二 种 表现 是 指 计算 机 病毒 的 内 部 
往往 有 一 种 触发 机 制 , 不 满足 触发 条 件 时 ,计算 机 病毒 除了 传染 外 不 做 什么 破坏 。 触 发 条 件 
一 旦 得 到 满足 , 它 才 会 产生 破坏 性 。 

(5) 隐蔽 性 。 计 算 机 病毒 具有 很 强 的 隐蔽 性 ,有 的 可 以 通过 病毒 软件 检查 出 来 ,有 的 根 
本 就 查 不 出 来 ,有 的 时 隐 时 现 、 变 化 无 常 , 这 类 病毒 处 理 起 来 通常 很 困难 。 

(6) 可 触发 性 。 病 毒 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 
称 为 可 触发 性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 的 频率 的 。 病 毒 具有 预定 的 
触发 条 件 , 这 些 条 件 可 能 是 时 间 \ 日 期 .文件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ,触发 机 制 
检查 预定 条 件 是 否 满足 ,如 果 满 足 , 启 动感 染 或 破坏 动作 ,使 病毒 进行 感染 或 攻击 ; 如 果 不 
满足 ,使 病毒 继续 潜伏 。 


3. 计算 机 病毒 分 类 


根据 多 年 对 计算 机 病毒 的 研究 ,按照 科学 的 、 系 统 的、 严密 的 方法 ,计算 机 病毒 可 以 根据 
下 面 的 属性 进行 分 类 : 

1) 按 病毒 存在 的 媒体 分 类 

根据 病毒 存在 的 媒体 ,病毒 可 以 划分 为 网 络 病毒 ,文件 病毒 和 引导 型 病毒 。 网 络 病毒 通 
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过 计算 机 网 络 传 播 感染 网 络 中 的 可 执行 文件 ,文件 病毒 感染 计算 机 中 的 文件 (如 COM、 
EXE 和 DOC 等 ) ,引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR)。 还 有 
这 三 种 情况 的 混合 型 ,例如 多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 种 目标 ,这 样 的 
病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系统 ,同时 使 用 了 加 密 和 变形 算法 。 
2) 按 病 毒 传 染 的 方法 分 类 
根据 病毒 传染 的 方法 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病毒 感染 计算 机 后 ， 
把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系统 调用 并 合并 到 操作 系统 
中 去 , 它 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 感染 
计算 机 内 存 ,一些 病毒 在 内 存 中 留 有 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ,这 类 病毒 也 
被 划分 为 非 驻 留 型 病毒 。 
3) 按 病毒 破坏 的 能 力 分 类 
(1) 无 害 型 。 除 了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 
(2) 无 危险 型 。 这 类 病毒 仅仅 是 减少 内 存 . 显 示 图 像 .发 出 声音 及 同类 音响 。 
(3) 危险 型 。 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 
(4) 非常 危险 型 。 这 类 病毒 删除 程序 ,破坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 的 
言 息 。 
4) 按 病 毒 的 算法 分 类 
(1) 伴随 型 病毒 。 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COM) 。 病 毒 把 自身 写 和 人 COM 文件 并 不 改变 EXE 
文件 , 当 DoS 加 载 文件 时 ,伴随 体 优先 被 执行 到 ,再 由 伴随 体 加 载 执 行 原来 的 EXE 文件 。 
(2)“ 蠕 虫 ” 型 病毒 。 通 过 计算 机 网 络 传 播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 
器 的 内 存 传播 到 其 他 机 器 的 内 存 , 计 算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 在 
系统 中 存在 ,一般 除了 内 存 不 占用 其 他 资源 。 
(3) 寄生 型 病毒 。 除 了 伴随 和 “蠕虫 "型 ,其 他 病毒 均 可 称 为 寄生 型 病毒 ,它们 依附 在 系 
统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 , 按 其 算法 不 同 可 分 为 
。 练习 型 病毒 。 病 毒 自 身 包含 错误 ,不 能 进行 很 好 的 传播 ,例如 一 些 病毒 在 调试 阶段 。 
。 诡秘 型 病毒 。 一 般 不 直接 修改 DoS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文件 缓冲 
区 等 DoS 内 部 修改 ,不 易 看 到 资源 ,使 用 比较 高 级 的 技术 。 利 用 DoS 空闲 的 数据 区 
进行 工作 。 
。 变型 病毒 (又 称 为 幽灵 病毒 )。 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 份 都 具有 不 同 
的 内 容 和 长 度 。 病 毒 由 一 段 混 有 无 关 指 令 的 解码 算法 和 被 变化 过 的 病毒 体 组 成 。 


4. 计算 机 病毒 的 历史 


计算 机 病毒 的 概念 其 实 很 早 就 出 现 了 。 现 有 记载 的 最 早 涉及 计算 机 病毒 概念 的 是 计算 
机 之 父 汉 ， 诺 伊 曼 在 1949 年 发 表 的 一 篇 名 为 (复杂 自动 装置 的 理论 及 组 织 的 进行 ) 的 论文 
中 第 一 次 给 出 病毒 程序 的 框架 。1960 年 ,程序 的 自我 复制 技术 首次 在 美国 人 约翰 。 康 维 编 
写 的 “生命 游戏 "程序 中 实现 。“ 磁 芯 大 战 ”游戏 是 美国 电报 电话 公司 贝尔 实验 室 的 三 个 工作 
人 员 麦 耀 莱 、 维 索 斯 基 以 及 莫 里 斯 编写 的 。 这 个 游戏 体现 了 计算 机 病毒 具有 感染 性 的 特点 。 
经 过 50 多 年 的 发 展 ,计算 机 病毒 大 致 可 以 划分 为 以 下 几 个 阶段 : 
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(1) DoS 引导 阶段 。1987 年 出 现 引 导 型 病毒 ,具有 代表 性 的 是 “小 球 ” 和 “石头 ”病毒 。 
当时 的 计算 机 通过 软盘 启动 后 使 用 ,引导 型 病毒 利用 软盘 的 启动 原理 工作 ,修改 系统 启动 扇 
区 ,在 计算 机 启动 时 首先 取得 控制 权 , 减 少 系 统 内 存 , 修 改 磁 盘 读 写 中 断 ,影响 系统 工作 效 
率 ,在 系统 存 取 磁盘 时 进行 传播 。 

(2) DoS 可 执行 阶段 。1989 年 ,可 执行 文件 型 病毒 出 现 , 它 们 利用 DoS 系统 加 载 执行 
文件 的 机 制 工 作 , 代 表 为 耶路撒冷 "“ 星 期 天 ”病毒 。 病 毒 代码 在 系统 执行 文件 时 取得 控制 
权 , 修 改 DoS 中 断 ,在 系统 调用 时 进行 传染 ,并 将 自己 附加 在 可 执行 文件 中 ,使 文件 长 度 增 
加 。1990 年 发 展 为 复合 型 病毒 ,可 感染 COM 和 EXE 文件。 

(3) 伴随 、 批 次 型 阶段 。1992 年 ,伴随 型 病毒 出 现 , 它 们 利用 DoS 加 载 文件 的 优先 顺序 
进行 工作 ,具有 代表 性 的 是 “ 金 暗 "病毒, 它 感染 EXE 文件 时 生成 一 个 和 EXE 同名 但 扩展 名 
为 COM 的 伴随 体 。 它 感染 文件 时 , 改 原来 的 COM 文件 为 同名 的 EXE 文件 ,再 产生 一 个 原 
名 的 伴随 体 ,文件 扩展 名 为 COM ,这样 在 DoS 加 载 文 件 时 ,病毒 就 取得 控制 权 。 这 类 病毒 
的 特点 是 不 改变 原来 的 文件 内 容 、 日 期 及 属性 ,解除 病毒 时 只 要 将 其 伴随 体 删除 即 可 。 在 非 
DoS 操作 系统 中 ,一 些 伴 随 型 病毒 利用 操作 系统 的 描述 语言 进行 工作 ,具有 典型 代表 的 是 
“海盗 旗 " 病 毒 , 它 在 得 到 执行 时 ,询问 用 户 名 称 和 口令 ,然后 返回 一 个 出 错 信息 ,将 自身 删 
除 。 批 次 型 病毒 是 工作 在 DoS 下 的 和 “海盗 旗 ” 病 毒 类 似 的 一 类 病毒 。 

(4) 幽灵 、 多 形 阶段 。1994 年 , 随 着 汇编 语言 的 发 展 ,实现 同一 功能 可 以 用 不 同 的 方式 
完成 ,这 些 方式 的 组 合 使 一 段 看 似 随 机 的 代码 产生 相同 的 运算 结果 。 幽 灵 病 毒 就 是 利用 这 
个 特点 ,每 感染 一 次 就 产生 不 同 的 代码 。 例 如 “一 半 ” 病 毒 就 是 产生 一 段 有 上 亿 种 可 能 的 解 
码 运 算 程 序 ,病毒 体 被 隐藏 在 解码 前 的 数据 中 , 查 解 这 类 病毒 就 必须 能 对 这 段 数据 进行 解 
码 ,加 大 了 查 毒 的 难度 。 多 形 型 病毒 是 一 种 综合 性 病毒 , 它 既 能 感染 引导 区 又 能 感染 程序 
区 ,多 数 具 有 解码 算法 ,一 种 病毒 往往 要 两 段 以 上 的 子 程序 方 能 解除 。 

(5) 生成 器 、 变 体 机 阶段 。1995 年 ,在 汇编 语言 中 ,一 些 数据 的 运算 放 在 不 同 的 通用 寄 
存 器 中 ,可 运算 出 同样 的 结果 ,随机 的 插入 一 些 空 操作 和 无 关 指令 也 不 影响 运算 的 结果 。 这 
样 ,一 段 解码 算法 就 可 以 由 生成 器 生成 , 当 生 成 器 的 生成 结果 为 病毒 时 ,就 产生 了 这 种 复杂 
的 “病毒 生成 器 ”, 而 变 体 机 就 是 增加 解码 复杂 程度 的 指令 生成 机 制 。 这 一 阶段 的 典型 代表 
是 “病毒 制造 机 ”VCL, 它 可 以 在 瞬间 制造 出 成 千 上 万 种 不 同 的 病毒 , 查 解 时 就 不 能 使 用 传 
统 的 特征 识别 法 ,需要 在 宏观 上 分 析 指 令 ,解码 后 查 解 病毒 。 

(6) 网 络 .蠕虫 阶段 。1995 年 , 随 着 网 络 的 普及 ,病毒 开始 利用 网 络 进行 传播 ,它们 只 
是 以 上 几 代 病毒 的 改进 。 非 DoS 操作 系统 中 ,蠕虫 ”是 典型 的 代表 , 它 不 占用 除 内 存 以 外 
的 任何 资源 ,不 修改 磁盘 文件 ,利用 网 络 功 能 搜索 网 络 地址 ,将 自身 向 下 一 个 地 址 进行 传播 ， 
有 时 也 在 网 络 服务 器 和 启动 文件 中 存在 。 

(7) 视窗 阶段 。1996 年 , 随 着 Windows 和 Windows 95 的 日 益 普及 ,利用 Windows 进 
行 工作 的 病毒 开始 发 展 ,它们 修改 (NE,PE) 文 件 ,典型 的 代表 是 DS. 3873。 这 类 病毒 的 机 
制 更 为 复杂 ,它们 利用 保护 模式 和 API 调用 接口 工作 ,解除 方法 也 比较 复杂 。 

(8) 宏 病 毒 阶段 。1996 年 , 随 着 Windows Word 功能 的 增强 ,使 用 Word 宏 语 言 也 可 以 
编制 病毒 ,这 种 病毒 使 用 类 Basic 语言 ,编写 容易 ,感染 Word 文档 等 文件 。 在 Excel 和 
AmiPro 中 出 现 的 相同 工作 机 制 的 病毒 也 归 为 此 类 。 由 于 Word 文档 格式 没有 公开 ,这 类 病 
毒 查 解 比较 困难 。 
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(9) 互联 网 阶段 。1997 年 , 随 着 因特网 的 发 展 ,各 种 病毒 也 开始 利用 因特网 进行 传播 ， 
一 些 携带 病毒 的 数据 包 和 邮件 越 来 越 多 ,如 果 不 小 心 打开 了 这 些 邮 件 , 机 器 就 有 可 能 中 毒 。 

(10) 邮件 炸弹 阶段 。1997 年 , 随 着 万 维 网 (World Wide Web) 上 Java 的 普及 ,利用 
Java 语言 进行 传播 和 资料 获取 的 病毒 开始 出 现 ,典型 的 代表 是 JavaSnake 病毒 。 还 有 一 些 
利用 邮件 服务 器 进行 传播 和 破坏 的 病毒 ,例如 Mail-Bomb 病毒 , 它 会 严重 影响 因特网 的 
效率 。 


4.5.2 计算 机 病毒 的 防治 


如 何 有 效 地 防范 黑客 病毒 的 侵扰 ,保障 计算 机 网 络 运行 安全 ,已 被 广大 计算 机 用 户 所 
重视 。 其 中 ,如 何 防 范 计算 机 网 络 免 受 病 毒 侵袭 又 成 为 网 络 安全 的 重 中 之 重 。 


1. 提高 防毒 意识 


进行 计算 机 安全 教育 ,提高 安全 防范 意识 ,建立 对 计算 机 使 用 人 员 的 安全 培训 制度 , 定 
期 进行 安全 培训 。 提 高 安全 防范 意识 , 另 一 方面 提高 病毒 防治 技术 ,掌握 病毒 防治 的 基本 知 
识 和 防 病毒 产品 的 使 用 方法 。 了 解 一 些 病毒 知识 ,就 可 以 及 时 发 现 新 病毒 并 采取 相应 措施 ， 
在 关键 时 刻 使 自己 的 计算 机 免 受 病毒 破坏 。 如 果 能 了 解 一 些 注册 表 知 识 , 就 可 以 定期 看 一 
看 注册 表 的 自 启动 项 是 否 有 可 疑 键 值 ; 如 果 了 解 一 些 内 存 知识 ,就 可 以 经 常 看 看 内 存 中 是 
否 有 可 疑 程序 。 


2. 建立 完善 的 病毒 防治 机 制 


计算 机 病毒 的 防治 应 有 相应 的 规章 制度 、 法 令 法 规 作 保 障 ,在 管理 上 应 建立 相应 的 组 织 
机 构 , 采 取 行 之 有 效 的 管理 方法 。 各 级 部 门 要 设立 专职 或 兼职 的 安全 员 ,形成 以 各 地 公安 计 
算 机 监察 部 门 为 龙头 的 计算 机 安全 管理 网 ,加 强 配合 、 信 息 共享 和 技术 互助 。 建 立 一 套 行 之 
有 效 的 防范 计算 机 病毒 的 应 急 措施 和 应 急事 件 处 理 机 构 ,以便 对 发 现 的 计算 机 病毒 事件 进 
行 快速 反应 和 处 置 ,为 遭受 计算 机 病毒 攻击 、 破 坏 的 计算 机 信息 系统 提供 数据 恢复 方案 , 保 
障 计算 机 信息 系统 和 网 络 的 安全 、 有 效 运转 。2000 年 公安 部 颁布 实施 了 《计算 机 病毒 防治 
管理 办 法 》, 按 照 (办 法 ) 的 要 求 , 结 合 各 自 单位 的 情况 建立 自己 的 计算 机 病毒 防治 制度 和 相 
应 组 织 , 将 病毒 防治 工作 落 到 实处 。 


3. 建立 病毒 防治 和 应 急 体系 


据 统计 ,有 80% 的 网 络 病毒 是 通过 系统 安全 漏洞 进行 传播 的 , 像 蠕 虫 王 、 冲 击 波 、 震 荡 
波 等 ,所 以 应 该 定期 到 微软 网 站 去 下 载 最 新 的 安全 补丁 ,以 防 患 未 然 。 默 认 情 况 下 ,许多 操 
作 系 统 会 安装 一 些 辅助 服务 ,如 FTP 客户 端 \Telnet 和 Web 服务 器 。 这 些 服务 为 攻击 者 
提供 了 方便 ,而 又 对 用 户 没有 太 大 用 处 ,如 果 关 闭 或 删除 系统 中 不 需要 的 服务 ,就 能 大 大 减 
少 被 攻击 的 可 能 性 。 由 于 许多 网 络 病毒 就 是 通过 猜测 简单 密码 的 方式 攻击 系统 的 ,因此 使 
用 复杂 的 密码 将 会 大 大 提高 计算 机 的 安全 系数 。 当 发 现 病毒 或 异常 时 应 立刻 断 网 ,采用 隔 
离 措施 ,防止 计算 机 受到 更 多 的 感染 ,或 者 成 为 传播 源 。 各 单位 应 建立 病毒 应 急 体系 ,与 国 
家 的 计算 机 病毒 应 急 体 系 建立 信息 交流 机 制 ,发 现 病毒 疫情 及 时 上 报 , 同 时 注意 国家 计算 机 
病毒 应 急 处 理 中 心 发 布 的 病毒 疫情 。 
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4. 安全 风险 评估 


对 系统 进行 风险 评估 ,对 使 用 的 系统 和 业务 需求 的 特点 进行 计算 机 病毒 风险 评估 。 通 
过 评估 了 解 自 身 系统 主要 面临 的 病毒 威胁 有 哪些 ,有 哪些 风险 必须 防范 ,有 哪些 风险 可 以 承 
受 。 确 定 所 能 承受 的 最 大 风险 ,以 便 制 定 相应 的 病毒 防治 策略 和 技术 防范 措施 。 适 时 进行 
安全 评估 ,调整 各 种 病毒 防治 策略 。 根 据 病毒 发 展 动态 ,定期 对 系统 进行 安全 评估 ,了 解 当 
前 面临 的 主要 风险 ,评估 病毒 防护 策略 的 有 效 性 ,及 时 发 现 问 题 ,调整 病毒 防治 的 各 项 策略 。 


5. 选用 病毒 防治 产品 


选择 经 过 公安 部 认证 的 病毒 防治 产品 ,根据 风险 评估 的 结果 ,选用 适当 的 病毒 防治 产 
品 , 在 产品 选 型 时 一 定 要 注意 选择 经 过 公安 部 检验 合格 的 产品 。 正 确 配置 .使 用 病毒 防治 产 
品 ,一 定 要 了 解 所 选用 产品 的 技术 特点 ,正确 配置 使 用 ,才能 发 挥 产品 的 特点 ,保护 自身 系统 
的 安全 。 安 装 专业 的 杀毒 软件 进行 全 面 监控 。 使 用 杀毒 软件 进行 防毒 是 越 来 越 经 济 的 选 
择 , 不 过 用 户 在 安装 了 反 病 毒 软件 之 后 ,应 该 经 常 进行 升级 ,将 一 些 主要 监控 经 常 打开 (如 邮 
件 监控 内存 监控 等 ), 遇 到 问题 要 上 报 ,这样 才能 真正 保障 计算 机 的 安全 。 


6. 建立 安全 的 计算 机 系统 


使 用 病毒 防火 墙 技术 ,这 样 既 可 以 防止 漏 检 ,又 能 在 一 定 程度 上 发 现 未 知 的 病毒 。 不 
过 ,有 些 病毒 可 以 穿 过 病毒 防火 墙 的 保护 ,因此 用 反 病毒 软件 的 防火 墙 对 新 软件 进行 扫描 还 
是 有 必要 的 ,现在 许多 反 病 毒 软件 或 专用 的 防火 墙 软件 都 具备 隔离 病毒 人 侵 的 功能 。 严 格 
实行 内 外 网 分 离 制度 ,这 样 不 但 可 以 防止 外 来 病毒 对 内 网 的 侵入 ,还 可 以 防止 银行 内 部 信 
息 、 资 源 、 数 据 的 被 盗 。 正 确 配置 系统 ,减少 病毒 侵害 事件 ,充分 利用 系统 提供 的 安全 机 制 ， 
提高 系统 防范 病毒 的 能 力 。 对 系统 的 一 些 敏 感 文 件 定期 进行 检查 ,保证 及 时 发 现 已 感染 的 
病毒 和 黑客 程序 。 对 发 生 的 病毒 事故 要 认真 分 析 原因 ,找到 病毒 突破 防护 系统 的 原因 ,及 时 
修改 病毒 防治 策略 ,并 对 调整 后 的 病毒 防治 策略 进行 重新 评估 。 


7. 备份 系统 、 备 份 重要 数据 


对 重要 、 有 价值 的 数据 应 该 定期 和 不 定期 备份 ,对 特别 重要 的 数据 ,做 到 每 修改 一 次 便 
备份 一 次 。 一 般 病毒 都 从 硬盘 的 前 端 开始 破坏 ,所 以 重要 的 数据 应 放 在 C 盘 以 后 的 分 区 ， 
这 样 即使 病毒 破坏 了 硬盘 前 面部 分 的 数据 ,只 要 能 及 时 发 现 , 后 面 这 些 数 据 还 是 有 可 能 挽回 
的 。 此 外 ,合理 设置 硬盘 分 区 , 预 留 补救 措施 ,如 用 Ghost 软件 备份 硬盘 ,可 快速 恢复 系统 。 
一 旦 发 生 了 病毒 侵害 事故 后 ,启动 灾难 恢复 计划 ,尽量 将 病毒 造成 的 损失 减 小 到 最 低 , 并 尽 
快 恢复 系统 正常 工作 。 


人 6 黑客 攻击 与 防范 


本 节 将 介绍 计算 机 黑客 基本 概念 .木马 攻击 .DDoS 攻击 和 黑客 防范 措施 。 
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4.6.1 计算 机 黑客 概述 
1. 黑客 的 概念 


“黑客 "的 原意 指 的 是 熟悉 某 种 计算 机 系统 ,并 具有 极 高 的 技术 能 力 ,长 时 间 将 心力 投注 
在 信息 系统 的 研发 ,并 且 乐 此 不 疲 的 人 。 黑 客 最 早 源 自 英文 hacker, 早 期 在 美国 的 计算 机 
界 是 带 有 讲义 的 。 但 在 媒体 报道 中 , “黑客 ”一 词 往往 指 那 些 “ 软 件 骇 客 ”(Software 
Cracker) 。“ 黑 客 ” 一 词 原 指 热心 于 计算 机 技术 ,水 平 高 超 的 计算 机 专家 ,尤其 是 程序 设计 人 
员 。 但 到 了 今天 ,黑客 ?一 词 已 被 用 于 泛 指 那些 专门 利用 计算 机 网 络 搞 破 坏 或 恶作剧 的 家 
伙 。 对 这 些 人 的 正确 英文 叫 法 是 Cracker, 有 人 翻译 成 “ 骇 客 ”。 

开放 源 代码 的 创始 人 Eric Raymond 认为 Hacker 与 Cracker 是 分 属 两 个 不 同 世 界 的 族 
群 ,基本 差异 在 于 : Hacker 是 有 建设 性 的 ,而 Cracker 则 专门 搞 破坏 。 

黑客 所 做 的 不 是 恶意 破坏 ,他 们 是 一 群 纵横 于 网 络 上 的 技术 人 员 ,热衷 于 科技 探索 、 计 
算 机 科学 研究 。 在 黑客 圈 中 ,Hack 一 词 无 疑 是 带 有 正面 的 意义 ,例如 System Hack 熟悉 操 
作 的 设计 与 维护 ; Password Hacker 精 于 找 出 使 用 者 的 密码 ; Computer Hacker 则 是 通晓 
计算 机 ,可 让 计算 机 乖乖 听话 的 高 手 。 

Hacker 的 原意 是 指 用 答 头 砍 柴 的 工人 ,最 早 被 引进 计算 机 圈 则 可 追溯 自 20 世纪 60 年 
代 。 加 州 柏 克 莱 大 学 计算 机 教授 Brian Harvey 在 考证 此 字 时 曾 写 到 ,当时 在 麻 省 理工 学 院 
中 (MIT) 的 学 生 通常 分 成 两 派 : 一 派 是 Tool, 意 指 乖 乖 的 学 生 ,成 绩 都 拿 甲 等 ; 另 一 派 则 是 
所 谓 的 Hack, 也 就 是 常 逃课 ,上 课 爱 睡觉 ,但 晚上 却 又 精力 充沛 喜欢 搞 课 外 活动 的 学 生 。 

Cracker 是 以 破解 各 种 加 密 或 有 限制 的 商业 软件 为 乐趣 的 人 ,他 们 以 破解 (Crack) 最 新 
版 本 的 软件 为 已 任 , 从 某 些 角度 来 说 是 一 种 义务 性 的 发泄 性 的 ,他 们 讲究 Crack 的 艺术 性 
和 完整 性 ,从 文化 上 体现 的 是 计算 机 大 众 化 。 他 们 以 年 轻 人 为 主 ,对 软件 的 商业 化 怀 有 

很 多 人 认为 Hacker 及 Cracker 之 间 没 有 明显 的 界线 ,但 实际 上 Hacker 和 Cracker 不 
但 很 容易 地 分 开 , 而 且 可 以 分 出 第 三 群 “互联 网 海盗 (Internet Pirate)”, 他 们 是 大 众 认定 的 
“破坏 分 子 ”。 但 是 ,人 们 还 是 把 这 和 群 人 称 为 “黑客 ”。 


2. 黑客 分 类 


网 络 中 常见 的 黑客 大 体 有 以 下 三 种 : 

(1) 业余 计算 机 爱好 者 。 他 们 偶尔 从 网 络 上 得 到 一 些 人 侵 的 工具 ,一 试 之 下 居然 攻 无 
不 胜 , 然 而 却 不 懂得 消除 证 据 ,因此 也 是 最 容易 被 揪 出 来 的 黑客 。 这 些 人 多 半 并 没有 什么 恶 
意 , 只 觉得 人 侵 是 证 明 自己 技术 能 力 的 方式 ,是 一 个 有 趣 的 游戏 ,有 一 定 的 成 就 感 。 即 使 造 
成 什么 破坏 ,也 多 半 是 无 心 之 过 。 只 要 有 称职 的 系统 管理 员 ,是 能 预防 这 类 无 心 的 破坏 发 
生 的 。 

(2) 职业 的 入 侵 者 。 这 些 人 把 入 侵 当成 事业 ,认真 并 且 有 系统 地 整理 所 有 可 能 发 生 的 
系统 弱点 ,熟悉 各 种 信息 安全 攻防 工具 。 他 们 有 能 力 成 为 一 流 的 信息 安全 专家 ,也 许 他 们 的 
正式 工作 就 是 信息 安全 工程 师 。 但 是 也 绝对 有 能 力 成 为 破坏 力 极 大 的 黑客 。 只 有 经 验 丰 富 
的 系统 管理 员 才 有 能 力 应 付 这 种 类 型 的 入侵 者 。 
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(3) 计算 机 高 手 。 他 们 对 网 络 、 操 作 系 统 的 运作 了 如 指 掌 ,对 信息 安全 、 网 络 侵入 也 许 
丝毫 不 感 兴趣 ,但 是 只 要 系统 管理 员 稍 有 政 失 ,整个 系统 在 他 们 眼中 就 会 变 得 不 堪 一 击 。 
此 可 能 只 是 为 了 不 想 和 同学 分 享 主机 的 时 间 , 也 可 能 只 是 懒得 按 正常 程序 申请 系统 使 用 权 ， 
就 偶尔 客串 ,扮演 人 侵 者 的 角色 。 这 些 人 通常 对 系统 的 破坏 性 不 高 ,取得 使 用 权 后 也 会 小 心 
使 用 ,避免 造成 系统 损坏 ,使 用 后 也 多 半 会 记得 消除 痕迹 。 因 此 ,此 类 入 侵 比 职业 的 和 人 侵 者 
更 难 找到 踪迹 。 这 类 的 高 手 通常 有 能 力 演变 成 称职 的 系统 管理 员 。 


3. 黑客 的 目的 


黑客 人 侵 的 目的 主要 有 以 下 几 个 方面 : 

(1) 好 奇 心 和 满足 感 。 这 类 人 人 和 人 侵 他 人 的 网 络 系统 ,以 成 功 与 否 为 技术 能 力 的 指标 , 借 
以 满足 其 内 心 的 好 奇 心 和 成 就 感 。 

(2) 作为 人 侵 其 他 系统 的 跳板 。 安 全 敏感 度 较 高 的 机 器 通常 有 多 重 的 使 用 记录 ,有 严 
密 的 安全 保护 ,入侵 必须 负担 的 法 律 责任 也 更 大 ,所 以 多 数 的 和 人 侵 者 会 选择 安全 防护 较 差 的 
系统 作为 访问 敏感 度 较 高 的 机 器 的 跳板 ,让 跳板 机 器 承担 责任 。 

(3) 盗用 系统 资源 数 。 互 联网 上 的 上 亿 台 计算 机 是 一 笔 庞大 的 财富 。 破 解密 码 , 盗 取 
资源 可 获取 巨大 的 经 济 利益 。 

(4) 窃取 机 密 资料 。 互 联网 中 存放 有 许多 重要 的 资料 ,如 信用 卡号 ,交易 资料 等 。 这 些 
有 价值 的 机 密 资 料 对 入 侵 者 具有 很 大 的 吸引 力 ,他 们 入 侵 系 统 的 目的 就 是 为 了 得 到 这 些 
资料 。 

(5) 出 于 政治 目的 或 报复 心理 。 这 类 人 入 侵 的 目的 就 是 要 破坏 他 人 的 系统 ,以 达到 报 
复 或 政治 目的 。 


4. 黑客 攻击 方式 


黑客 攻击 通常 分 为 以 下 7 种 典型 的 模式 : 

(1) 监听 。 这 种 攻击 是 指 监听 计算 机 系统 或 网 络 信息 包 以 获取 信息 。 监 听 实 质 上 并 没 
有 进行 真正 的 破坏 性 攻击 或 和 侵 ,但 却 通常 是 攻击 前 的 准备 动作 ,黑客 利用 监听 来 获取 他 想 
攻击 对 象 的 信息 ,如 网 址 .用户 账 号 和 用 户 密码 等 。 这 种 攻击 可 以 分 成 网 络 信息 包 监 听 和 计 
算 机 系统 监听 两 种 。 

(2) 密码 破解 。 这 种 攻击 是 指使 用 程序 或 其 他 方法 来 破解 密码 。 破 解密 码 主要 有 两 种 
方式 : 猿 出 密码 或 是 使 用 遍历 法 一 个 一 个 尝试 所 有 可 能 试 出 密码 。 这 种 攻击 程序 相当 多 ， 
如 果 是 要 破解 系统 用 户 密 码 的 程序 ,通常 需要 一 个 存储 着 用 户 账号 和 加 密 过 的 用 户 密码 的 
系统 文件 ,例如 UNIX 系统 的 Password 和 Windows NT 系统 的 SAM, 破 解 程序 就 利用 这 
个 系统 文件 来 猜 或 试 密码 。 

(3) 漏洞 。 漏 洞 是 指 程序 在 设计 、 实 现 或 操作 上 的 错误 ,而 被 黑客 用 来 获得 信息 、 取 得 
用 户 权限 、 取 得 系统 管理 者 权限 或 破坏 系统 。 由 于 程序 或 软件 的 数量 太 多 ,因此 这 种 数量 相 
当 庞 大 。 缓 冲 区 溢出 是 程序 在 实现 上 最 常 发 生 的 错误 ,也 是 最 多 漏洞 产生 的 原因 。 缓 冲 区 
溢出 的 发 生 原因 是 把 超过 缓冲 区 大 小 的 数据 放 到 缓冲 区 ,造成 多 出 来 的 数据 获 盖 到 其 他 变 
量 , 绝 大 多 数 的 状况 是 程序 发 生 错 误 而 结束 。 但 是 如 果 适 当地 放 入 数据 ,就 可 以 利用 缓冲 区 
溢出 来 执行 自己 的 程序 。 
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(4) 扫描 。 这 种 攻击 是 指 扫 描 计算 机 系统 以 获取 信息 。 扫 描 和 监听 一 样 ,实质 上 并 没 
有 进行 真正 的 破坏 性 攻击 或 入 侵 , 但 却 通 常 是 攻击 前 的 准备 动作 ,黑客 利用 扫描 来 获取 他 想 
攻击 对 象 的 信息 ,如 开放 哪些 服务 、 提 供 服务 的 程序 ,甚至 利用 已 发 现 的 漏洞 样本 作对 比 直 

(5) 恶意 程序 码 。 这 种 攻击 是 指 黑客 通过 外 部 设备 和 网 络 把 恶意 程序 码 安装 到 系统 
内 。 它 通常 是 黑客 成 功 人 侵 后 做 的 后 续 动 作 , 可 以 分 成 两 类 : 病毒 和 后 门 程序 。 病 毒 有 自 
我 复制 性 和 破坏 性 两 个 特性 ,这 种 攻击 就 是 把 病毒 安装 到 系统 内 ,利用 病毒 的 特性 破坏 系统 
和 感染 其 他 系统 。 最 有 名 的 病毒 就 是 世界 上 第 一 位 因特网 黑客 所 写 的 蠕虫 病毒 , 它 的 攻击 
行为 其 实 很 简单 ,就 是 复制 ,复制 同时 做 到 感染 和 破坏 的 目的 。 后 门 程序 攻击 通常 是 黑客 在 
入 侵 成 功 后 ,为 了 方便 下 次 入 侵 而 安装 的 程序 。 

(6) 阻 断 服务 。 这 种 攻击 的 目的 并 不 是 要 入 侵 系统 或 是 取得 信息 ,而 是 阻 断 被 害 主机 
的 某 种 服务 ,使 得 正常 用 户 无 法 接收 网 络 主机 所 提供 的 服务 。 这 种 攻击 有 很 大 部 分 是 从 系 
统 漏洞 这 个 攻击 类 型 中 独立 出 来 的 , 它 是 把 稀少 的 资源 用 尽 , 让 服务 无 法 继续 。 例 如 TCP 
同步 信号 洪 泛 攻击 是 把 被 害 主机 的 等 待 队列 填 满 。 最 近 出 现 一 种 有 关 阻 断 服务 攻击 的 新 攻 
击 模式 分 布 式 阻 断 服务 攻击 ,黑客 从 Client 端 控制 Handler, 而 每 个 Handler 控制 许多 
Agent, 因 此 黑客 可 以 同时 命令 多 个 Agent 对 被 害 者 做 大 量 的 攻击 。 而 且 Client 与 Handler 
之 间 的 沟通 是 经 过 加 密 的 。 

(7) Social Engineering。 这 种 攻击 是 指 不 通过 计算 机 或 网 络 的 攻击 行为 。 例 如 黑客 自 
称 是 系统 管理 者 ,发 电子 邮件 或 打 电话 给 用 户 ,要求 用 户 提供 密码 ,以 便 测试 程序 或 其 他 理 
由 。 其 他 的 如 躲 在 用 户 背 后 偷 看 他 人 的 密码 也 属于 Social Engineering。 


4.6.2 木马 攻击 
1. 木马 的 概念 


“木马 病毒 ”的 称 法 是 来 源 于 《 荷 马 史诗 ) 的 特洛伊 战 记 。 故 事 说 的 是 希腊 人 围攻 特洛伊 
城 10 年 后 仍 不 能 得 手 , 于 是 阿 伽 门 农 受 雅典 娜 的 启发 : 把 士兵 藏匿 于 巨大 无 比 的 木马 中 ， 
然后 伴 作 退兵 。 当 特洛伊 人 将 木马 作为 战利品 拖 和 人 城内 时 ,高 大 的 木马 正好 卡 在 城 门 间 , 进 
退 两 难 。 夜 晚 木马 内 的 士兵 怜 出 来 ,与 城 外 的 部 队 里 应 外 合 而 攻 下 了 特洛伊 城 。 而 计算 机 
世界 的 木马 (Trojan) 是 指 隐藏 在 正常 程序 中 的 一 段 具有 特殊 功能 的 恶意 代码 ,是 具备 破坏 
和 删除 文件 ,发 送 密码 ,记录 键盘 和 攻击 DoS 等 特殊 功能 的 后 门 程序 ,由 此 而 得 名 “木马 ”。 

木马 病毒 和 其 他 病毒 一 样 都 是 一 种 人 为 的 程序 ,都 属于 计算 机 病毒 。 与 以 前 的 计算 机 
病毒 不 同 ,木马 病毒 的 作用 是 赤裸 裸 地 偷偷 监视 别人 的 所 有 操作 和 盗 穷 别人 的 各 种 密码 和 
数据 等 重要 信息 ,如 盗窃 系统 管理 员 密码 搞 破坏 ; 偷窃 ADSL 上 网 密码 和 游戏 账号 密码 用 
于 牟利 ; 更 有 其 者 直接 窃取 股票 账号 ,网 上 银行 账户 等 机 密 信息 达到 盗窃 别人 财务 的 目的 。 
所 以 木马 病毒 的 危害 性 更 大 。 这 个 现状 就 导致 了 许多 别有用心 的 程序 开发 者 大 量 地 编写 这 
类 带 有 偷窃 和 监视 别人 计算 机 的 侵入 性 程序 ,这 就 是 目前 网 上 大 量 木马 病毒 泛滥 成 灾 的 原 
因 。 鉴 于 木马 病毒 的 这 些 巨 大 危害 性 和 它 与 其 他 病毒 的 作用 性 质 的 不 一 样 ,木马 病毒 虽然 
属于 病毒 中 的 一 类 ,但 是 要 单独 地 从 病毒 类 型 中 间 剥 离 出 来 ,独立 地 称 为 “木马 病毒 "程序 。 
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2. 木马 的 发 展 历史 


经 过 若干 年 的 发 展 ,木马 病毒 也 经 历 了 三 代 演化 : 

第 一 代 木 马 : 伪装 型 病毒 。 这 种 病毒 通过 伪装 成 一 个 合法 性 程序 诱骗 用 户 上 当 。 第 一 
个 计算 机 木马 出 现在 1986 年 。 它 伪装 成 共享 软件 pc-write 的 2. 72 版 本 ,一 旦 用 户 信 以 为 
真 运行 该 木马 程序 ,那么 他 的 下 场 就 是 硬盘 被 格式 化 。 

第 二 代 木 马 : 1989 年 出 现 了 aids 木马 。aids 的 作者 利用 邮件 散播 ,给 其 他 人 寄 去 一 封 
含有 木马 程序 软盘 的 邮件 。 之 所 以 叫 这 个 名 称 是 因为 软盘 中 包含 aids 和 hiv 疾病 的 药品 、 
价格 、 预 防 措施 等 相关 信息 。 软 盘 中 的 木马 程序 在 运行 后 ,虽然 不 会 破坏 数据 ,但 是 它 将 硬 
盘 加 密 锁 死 , 然 后 提示 受 感染 用 户 花 钱 消 灾 。 可 以 说 第 二 代 木 马 已 具备 了 传播 特征 。 

第 三 代 木 马 : 网 络 传播 型 木马 。 随 着 Internet 的 普及 ,这 一 代 木 马 兼备 伪装 和 传播 两 
种 特征 并 结合 TCP/IP 网 络 技术 四 处 泛滥 。 同 时 它 还 出 现 了 新 的 特征 : 

(1) 添加 了 “后 门 ”功能 。 所 谓 后 门 就 是 一 种 可 以 为 计算 机 系统 秘密 开启 访问 入 口 的 程 
序 。 一 旦 被 安装 ,这 些 程序 就 能 够 使 攻击 者 绕 过 安全 程序 进入 系统 。 该 功能 的 目的 就 是 收 
集 系统 中 的 重要 信息 。 此 外 ,攻击 者 还 可 以 利用 后 门 控制 系统 ,使 之 成 为 攻击 其 他 计算 机 的 
帮凶 。 由 于 后 门 是 隐藏 在 系统 背后 运行 的 ,因此 很 难 被 检测 到 。 它 们 不 像 病毒 和 蠕虫 那样 
通过 消耗 内 存 而 引起 注意 。 

(2) 添 加 了 击 键 记 录 功 能 。 从 名 称 上 就 可 以 知道 ,该 功能 主要 是 记录 用 户 所 有 的 击 键 内 
容 , 然 后 形成 击 键 记 录 的 日 志文 件 发 送 给 恶意 用 户 。 恶 意 用 户 可 以 从 中 找到 用 户 名 ` 口 令 以 
及 信用 卡号 等 用 户 信息 。 木 马 有 如 下 共同 特点 : 基于 网 络 的 客户 端 /服务 器 应 用 程序 。 具 
有 搜集 信息 ,执行 系统 命令 、 重 新 设置 机 器 、 重 新 定向 等 功能 。 当 木马 程序 攻击 得 手 后 ,计算 
机 就 完全 成 为 在 黑客 控制 下 的 佛 偶 主机 ,黑客 成 了 超级 用 户 , 用 户 的 所 有 计算 机 操作 不 但 没 
有 任何 秘密 而 言 ,而 且 黑 客 可 以 远程 控制 俐 偶 主 机 对 别 的 主机 发 动 攻击 ,这 时 候 被 俘获 的 俐 
偏 主机 成 了 黑客 进行 进一步 攻击 的 挡 箭 牌 和 跳板 。 木 马 病毒 为 了 达到 隐蔽 的 效果 ,往往 会 
以 各 种 各 样 的 方法 藏身 于 计算 机 系统 之 中 。 


3. 木马 病毒 藏身 方法 


(1) 集成 到 程序 中 。 木 马 是 一 种 客户 端 /服务 器 程序 。 为 了 不 让 用 户 能 轻易 地 把 它 删 
除 ,常常 被 集成 到 程序 里 ,一 旦 用 户 激活 木马 程序 ,那么 木马 文件 和 某 一 应 用 程序 绑 定 在 一 
起 ,然后 上 传 到 服务 器 端 覆盖 原文 件 ,这 样 即使 木马 被 删除 ,只 要 运行 捆绑 了 木马 的 应 用 程 
序 ,木马 又 会 被 安装 上 去 。 绑 定 到 某 一 应 用 程序 中 ,如 绑 定 到 系统 文件 ,那么 每 一 次 Windows 
系统 启动 均 会 启动 木马 。 

(2) 隐藏 在 配置 文件 中 。 木 马 利 用 配置 文件 的 特殊 作用 ,在 Autoexec. bat 和 Config. sys 
中 加 载 木 马 程序 ,然后 在 计算 机 中 发 作 、 运 行 ,偷窥 监视 计算 机 。 

(3) 潜伏 在 Win. ini 中 。 木 马 要 想 达 到 控制 或 者 监视 计算 机 的 目的 ,必须 要 运行 ,一 个 
既 安全 又 能 在 系统 启动 时 自动 运行 的 地 方 是 潜伏 在 Win. ini 文件 中 。Win. ini 文件 中 有 启 
动 命令 load 王 和 run 一 ,在 一 般 情 况 下 王后 面 是 空白 的 ,如 果 后 面 跟 有 程序 ,如 run 一 
c:\windows\file. exe; load 一 c: \windows\file. exe, 这 时 file. exe 很 可 能 是 木马 。 

(4) 伪装 在 普通 文件 中 。 这 个 方法 是 把 可 执行 文件 伪装 成 图 片 或 文本 ,在 程序 中 把 图 
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标 改 成 Windows 的 默认 图 片 图 标 , 再 把 文件 名 改 为 * .jpg. exe, 由 于 Windows 系统 默认 设 
置 是 “不 显示 已 知 的 文件 后 级 名 ”, 文 件 将 会 显示 为 * .jpg, 不 注意 的 人 一 点 这 个 图 标 就 中 木 
马 T3 

(5) 内 置 到 注册 表 中 。 由 于 注册 表 比 较 复杂 , 它 是 木马 隐藏 的 地 方 。 

(6) 在 System. ini 中 。Windows 安装 目录 下 的 System. ini 是 木马 隐蔽 的 地 方 。 在 该 
文件 的 [boot] 字 段 中 ,如 果 shell 二 Explorer. exe file. exe, 这 里 的 file. exe 就 是 木马 服务 端 
程序 。 另 外 ,在 System. ini 中 的 [386Enhj] 字 段 ,要 注意 检查 在 此 段 内 的 “driver 一 路 径 \ 程 序 
名 ”, 这 里 也 有 可 能 被 木马 所 利用 。 再 有 ,在 System. ini 中 的 [mic]、[ drivers]、[drivers32] 
这 三 个 字段 ,这些 字段 也 是 起 到 加 载 驱动 程序 的 作用 ,但 也 是 增添 木马 程序 的 好 场所 。 

(7) 隐形 于 启动 组 中 。 启 动 组 也 是 木马 可 以 藏身 的 好 地 方 ,也 是 自动 加 载运 行 的 好 场 
所 。 启 动 组 对 应 的 文件 夹 为 C: \windows\startmenu\programs\startup, 在 注册 表 中 的 位 
置 是 HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ 
ShellFold-ers Startup="C: \windows\startmenu\programs\startup" 。 

(8) 隐蔽 在 Winstart. bat 中 。Winstart. bat 也 是 一 个 能 自动 被 Windows 加 载运 行 的 
文件 , 它 多 数 情况 下 为 应 用 程序 及 Windows 自动 生成 ,在 执行 了 Win. com 并 加 载 了 多 数 驱 
动 程序 之 后 开始 执行 。 由 于 Autoexec. bat 的 功能 可 以 由 Winstart. bat 代替 完成 ,因此 木马 
也 可 以 像 在 Autoexec. bat 中 那样 被 加 载运 行 。 

(9) 绑 定 在 启动 文件 中 。 即 应 用 程序 的 启动 配置 文件 ,控制 端 利 用 这 些 文件 能 启动 程 
序 的 特点 ,将 制作 好 的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 器 端 覆 盖 这 同名 文件 ,这 样 
就 可 以 达到 启动 木马 的 目的 。 

(10) 设置 在 超 链接 中 。 木 马 的 主人 在 网 页 上 放置 恶意 代码 ,引诱 用 户 点 击 , 用 户 点 击 
的 结果 是 中 木马 病毒 。 


4.6.3 DDoS 攻击 
1. DoS 攻击 定义 


DoS(Denial of Service, 拒 绝 服务 ) 攻 击 是 对 网 络 服务 有 效 性 的 一 种 破坏 ,使 受害 主机 或 
网 络 不 能 及 时 接收 并 处 理 外 界 请 求 或 无 法 及 时 回应 外 界 请 求 , 从 而 不 能 提供 给 合法 用 户 正 
常 的 服务 ,形成 拒绝 服务 。 

DDoS 攻击 是 利用 足够 数量 的 俐 儒 机 产生 数目 巨大 的 攻击 数据 包 对 一 个 或 多 个 目标 实 
施 DoS 攻击 , 耗 尽 受害 端的 资源 ,使 受害 主机 丧失 提供 正常 网 络 服 务 的 能 力 。DDoS 攻击 已 
经 是 当前 网 络 安全 最 严重 的 威胁 之 一 ,是 对 网 络 可 用 性 的 挑战 。 反 弹 攻击 和 IP 源 地 址 伪造 
技术 的 使 用 使 得 攻击 更 加 难以 察觉 。 就 目前 的 网 络 状 况 而 言 ,世界 的 每 一 个 角落 都 有 可 能 
受到 DDoS 攻击 ,但 是 只 要 能 够 尽 可 能 检测 到 这 种 攻击 并 且 作 出 反应 ,损失 就 能 够 减 到 最 小 
程度 。 因 此 ,DDoS 攻击 检测 方法 的 研究 一 直 受到 关注 。 


2. DDoS 的 攻击 原理 


DDoS 的 攻击 原理 图 如 图 4-9 所 示 。 
(1) 攻击 者 。 可 以 是 网 络 上 的 任何 一 台 主 机 。 在 整个 攻击 过 程 中 , 它 是 攻击 主 控 台 , 向 
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4-9 DDoS 的 攻击 原理 图 


主 控 端 发 送 攻击 命令 ,包括 目标 主机 地 址 ,控制 整个 过 程 。 攻 击 者 与 主 控 端 的 通信 一 般 不 包 
括 在 DDoS 工具 中 ,可 以 通过 多 种 连接 方法 完成 ,最 常用 的 有 “telnet”TCP 终端 会 话 ,还 可 
以 是 绑 定 到 TCP 端口 的 远程 shell, 基 于 UDP 的 客户 端 /服务 器 远程 shell 等 。 

(2) 主 控 端 。 主 控 端 和 代理 端 都 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 ,它们 分 成 了 两 
个 层次 ,分 别 运行 非法 植 人 的 不 同 的 攻击 程序 。 每 个 主 控 端 控制 数 十 个 代理 端 , 有 其 控制 的 
代理 端的 地 址 列表 , 它 监听 端口 接收 攻击 者 发 来 的 命令 后 ,将 命令 转发 给 代理 端 。 主 控 端 与 
代理 端的 通信 根据 DDoS 工具 的 不 同 而 有 所 不 同 。 如 Trinoo 使 用 UDP 协议 ,TFN 使 用 
ICMP 协议 通过 ICMP_ECHOREPLY 数据 包 完 成 通信 ,stacheldraht 使 用 TCP 和 ICMP 协 
议 进行 通信 。 

(3) 代理 端 。 在 它们 上 面 运行 攻击 程序 ,监听 端口 接收 和 运行 主 控 端 发 来 的 命令 ,是 真 
正 进行 攻击 的 机 器 。 

(4) 被 攻击 者 。 可 以 是 路 由 器 、 交 换 机 、 主 机 。 遭 受 攻击 时 ,它们 的 资源 或 带宽 被 耗 尽 。 
防火 墙 、. 路 由 器 的 阻塞 还 可 能 导致 恶性 循环 ,加 重 网 络 阻塞 情况 。 


3. DDoS 攻击 的 实施 过 程 


1) 收集 目标 主机 信息 

攻击 者 要 入 侵 网 络 , 首 要 工作 是 收集 、 了 解 目标 主机 的 情况 。 下 列 信 息 是 DDoS 攻击 者 
所 关心 的 内 容 : 目标 主机 的 数量 和 地 址 配置 ; 目标 主机 的 系统 配置 和 性 能 ; 目标 主机 的 网 
络 带 宽 。 例 如 ,攻击 者 对 网 络 上 的 某 个 站 点 发 动 攻击 ,他 必须 确定 有 多 少 台 主 机 支持 这 个 站 
点 ,因为 一 个 大 的 站 点 很 可 能 需要 多 台 主 机 利用 负载 均衡 技术 提供 同一 站 点 的 WWW 服 
务 。 根 据 目标 主机 的 数量 ,攻击 者 就 能 够 确定 要 占领 多 少 台 代理 主机 实施 攻击 才能 实现 其 
企图 。 假 如 攻击 1 台 目标 主机 需要 1 台 代 理 主 机 的 话 , 那 么 攻击 一 个 由 10 台 主 机 支持 的 站 
点 就 需要 10 台 代 理 主机 。 

2) 占领 主 控 机 和 代理 主机 

攻击 者 首先 利用 扫描 器 或 其 他 工具 选择 网 上 一 台 或 多 台 代理 主机 用 于 执行 攻击 行动 。 
为 了 避免 目标 网 络 对 攻击 的 有 效 响应 和 攻击 被 跟踪 检测 ,代理 主机 通常 应 位 于 攻击 目标 网 
络 和 发 动 攻击 网 络 域 以 外 。 代 理 主 机 必须 具有 一 定 脆弱 性 ,以 方便 攻击 者 能 够 占领 和 控制 ， 
且 需 具备 足够 资源 用 于 发 动 强大 的 攻击 数据 流 。 代 理 主机 一 般 应 具备 以 下 特点 : 链 路 状态 
好 和 网 络 性 能 好 ; 系统 性 能 好 ; 安全 管理 水 平 差 。 
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攻击 者 侵入 代理 主机 后 ,选择 一 台 或 多 台 作为 主 控 主 机 ,并 在 其 中 植 入 特定 程序 ,用 于 
接收 和 传达 来 自 攻击 者 的 攻击 指令 。 其 余 代理 主机 被 攻击 者 植 入 攻击 程序 ,用 于 发 动 攻击 。 
攻击 者 通过 重 命名 和 隐藏 等 多 项 技术 保护 主 控 机 和 代理 主机 上 程序 的 安全 和 隐秘 。 被 占领 
的 代理 主机 通过 主 控 主机 向 攻击 者 汇报 有 关 信 息 。 

3) 发 起 攻击 

攻击 者 通过 攻击 主机 发 布 攻 击 命令 , 主 控 主机 接收 到 命令 后 立即 向 代理 主机 传达 ,隐蔽 
在 代理 主机 上 的 攻击 程序 响应 攻击 命令 ,产生 大 量 的 UDP、TCP SYN 和 ICMP 响应 请 求 等 
垃圾 数据 包 , 瞬 间 涌 向 目标 主机 并 将 其 淹没 ,最 终 导 致 出 现 目标 主机 崩溃 或 无 法 响应 请 求 等 
状况 。 在 攻击 过 程 中 ,攻击 者 通常 根据 主 控 主 机 及 其 与 代理 主机 的 通信 情况 改变 攻击 目标 、 
持续 时 间 等 ,分 组 ,分 组 头 、 通 信 信 道 等 都 有 可 能 在 攻击 过 程 中 被 改变 。 


4. DDoS 攻击 预防 对 策 


DDoS 攻击 的 研究 主要 在 预防 检测 、 响 应 追踪 三 个 方面 。 防 范 DDoS 攻击 的 第 一 道 防 
线 就 是 攻击 预防 。 预 防 的 目的 是 在 攻击 尚未 发 生 时 采取 措施 ,阻止 攻击 者 发 起 DDoS 攻击 
进而 危害 网 络 。 在 DDoS 攻击 的 预防 研究 方面 ,目前 研究 最 多 的 还 是 提高 TCP/IP 协议 的 
质量 ,如 延长 缓冲 队列 的 长 度 和 减少 超时 时 间 。 目 前 ,SYN cookie 技术 已 经 讨论 完善 ,并 在 
UNIX 系统 中 得 到 了 应 用 。 另 外 ,加 强 事先 防范 以 及 采取 更 严密 的 措施 来 加 固 系统 也 是 必 
要 的 ,主要 的 安全 措施 包括 避免 FUD(Fear, Uncertainty and Doubt) .加 强 中 间 环 节 的 网 络 
安全 、 加 强 与 网 络 服务 提供 商 的 合作 、 优 化 路 由 及 网 络 结构 \ 优 化 对 外 提供 服务 的 主机 、 保 护 
主机 不 被 人 侵 、 审 核 系统 规则 、 使 用 密码 检查 。 

仅仅 预防 攻击 是 不 够 的 , 当 攻 击 真 的 发 生 时 需要 进行 响应 。 响 应 追踪 的 目的 是 消除 或 
缓解 攻击 ,尽量 减 小 攻击 对 网 络 造成 的 危害 。 响 应 追踪 研究 又 可 以 分 为 攻击 发 生 时 追踪 和 
攻击 发 生 后 追踪 。 攻 击发 生 后 追踪 的 主要 方法 包括 路 由 器 产生 ICMP 追踪 消息 法 、 分 组 标 
记 法 ,数据 包 日 志 记录 法 ; 攻击 发 生 时 追踪 的 主要 方法 包括 基于 IPSec 的 动态 安全 关联 追 
踪 法 \ 链 路 测试 法 和 逐 跳 追踪 法 等 。 

为 了 尽快 响应 攻击 ,就 需要 尽快 地 检测 出 攻击 的 存在 。 在 检测 研究 方面 ,目前 已 有 很 多 
种 方法 以 及 不 同 的 分 类 。DDoS 是 一 种 基于 DoS 的 分 布 .协作 的 大 规模 攻击 方式 , 它 直 接 或 
间接 通过 互联 网 上 其 他 受 控制 的 计算 机 攻击 目标 系统 或 者 网 络 资源 的 可 用 性 。 同 DoS 一 
次 只 能 运行 一 种 攻击 方式 攻击 一 个 目标 不 同 ,DDoS 可 以 同时 运用 多 种 DoS 攻击 方式 ,也 可 
以 同时 攻击 多 个 目标 。 攻 击 者 利用 成 百 上 千 个 被 “控制 "节点 向 受害 节点 发 动 大 规模 的 协同 
攻击 。 通 过 消耗 带宽 .CPU 和 内 存 等 资源 ,达到 被 攻击 者 的 性 能 下 降 其 至 瘫 痰 和 死机 ,从 而 
造成 其 他 合法 用 户 无 法 正常 访问 。 与 DoS 相 比 ,其 破坏 性 和 危害 程度 更 大 ,涉及 范围 更 广 ， 
更 难 发 现 攻击 者 。 


4.6.4 黑客 防范 措施 
1. 基本 防范 措施 


(1) 设置 防火 墙 。 防 火 墙 具 有 较 强 的 抗 攻击 能 力 , 提 供 信息 安全 服务 ,是 实现 网 络 和 信 
息 安全 的 基础 设施 ,属于 被 动 防卫 类 型 。 
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(2) 数据 加 密 。 这 种 技术 是 利用 现代 的 数据 加 密 技 术 来 保护 网 络 系统 中 包括 用 户 数据 
在 内 的 所 有 数据 流 。 只 有 指定 的 用 户 或 网 络 设备 才能 够 解 译 加 密 数 据 , 从 而 在 不 对 网 络 环 
境 作 特殊 要 求 的 前 提 下 从 根本 上 满足 网 络 服务 的 可 用 性 和 信息 的 完整 性 的 要 求 。 

(3) 入 侵 检 测 。 网 络 用 户 还 可 以 借助 入 侵 检测 技术 发 觉 入侵 行为 。 它 通过 对 计算 机 网 
络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 
违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 


2. 具体 防范 措施 


(1) 防止 拒绝 服务 攻击 。 对 付 SYN Flood 攻击 ,可 以 采用 以 下 两 种 方法 : 一 种 是 缩短 
SYN Timeout 时 间 。 由 于 SYN Flood 攻击 的 效果 取决 于 服务 器 上 保持 的 SYN 半 连 接 数 ， 
这 个 值 等 于 SYN 攻击 的 频 度 乘 以 SYN Timeout, 因 此 通过 缩短 从 接收 到 SYN 报 文 到 确定 
这 个 报 文 无 效 并 丢弃 该 连接 的 时 间 ,例如 设置 为 20s 以 下 (过 低 的 SYN Timeout 设置 可 能 
会 影响 客户 的 正常 访问 ) ,可 以 成 倍 地 降低 服务 器 的 负荷 。 第 二 种 方法 是 设置 SYN Cookie， 
就 是 给 每 一 个 请 求 连接 的 IP 地 址 分 配 一 个 Cookie, 如 果 短 时 间 内 连续 受到 某 个 IP 的 重复 
SYN 报 文 , 就 认定 是 受到 了 攻击 ,以 后 从 这 个 IP 地 址 来 的 包 会 被 丢弃 。 另 外 ,为 了 更 加 有 
力 地 对 付 SYN Flood 攻击 ,可 以 在 该 网 段 的 路 由 器 上 做 些 配 置 的 调整 ,这 些 调 整 包括 限制 
SYN 半 开 数据 包 的 流量 和 个 数 。 或 者 在 路 由 器 的 前 端 做 必要 的 TCP 拦截 ,使 得 只 有 完成 
TCP 三 次 握手 过 程 的 数据 包 才 可 进入 该 网 段 ,这 样 可 以 有 效 地 保护 本 网 段 内 的 服务 器 不 受 
此 类 攻击 。 当 然 , 要 彻底 杜绝 拒绝 服务 攻击 ,最 好 的 办 法 唯 有 追根 渊源 去 找到 正在 进行 攻击 
的 机 器 和 攻击 者 。 因 为 一 旦 其 停止 了 攻击 行为 ,很 难 将 其 发 现 , 因 此 唯一 可 行 的 方法 是 在 其 
进行 攻击 的 时 候 , 根 据 路 由 器 的 信息 和 攻击 数据 包 的 特征 ,采用 逐 级 回溯 的 方法 来 查找 其 攻 
击 源头 ,这 时 需要 各 级 部 门 的 协同 配合 方 可 有 效果 。 

(2) 防止 恶意 代码 攻击 。 防 范 恶 意 代 码 攻 击 可 采用 漏洞 扫描 技术 对 网 络 及 各 种 系统 进 
行 定期 或 不 定期 的 扫描 监测 ,并 向 安全 管理 员 提 供 系 统 最 新 的 漏洞 报告 ,使 管理 员 能 够 随时 
了 解 网 络 系统 当前 存在 的 漏洞 并 及 时 采取 相应 的 措施 进行 修补 。 另 外 ,网 络 用 户 也 要 及 
时 关注 网 络 上 发 布 的 补丁 信息 ,及 时 下 载 并 安装 。 一 般 来 说 ,操作 系统 、 网 络 服务 系统 都 
提供 系统 日 志 , 尽 可 能 记录 发 生 的 所 有 事件 。 多 数 攻击 和 病毒 能 通过 系统 日 志 的 记录 发 
现 ,因此 经 常 检 查 系 统 日 志 能 发 现 大 多 数 的 攻击 事件 和 病毒 ,从 而 采取 相应 措施 , 堵 上 
漏洞 。 

(3) 防止 欺骗 攻击 。 将 自己 上 网 的 IP 地 址 隐藏 起 来 或 让 他 人 很 难 找 到 是 预防 黑客 进 
行 欺骗 IP 攻击 的 相当 重要 的 一 个 步骤 ,当然 也 可 以 阻止 各 类 黑客 的 进入 。 要 想 在 浏览 任何 
网 站 .FTP 服务 器 、 聊 天 室 ` BBS Telnet 时 不 留 自 己 上 网 的 真实 IP, 最 方便 、 最 简单 的 方法 
是 使 用 代理 服务 器 。 代 理 服务 器 的 设置 : 在 IE 浏览 器 中 选择 “工具 ”>“Internet 选项 * 命 
令 , 在 打开 的 对 话 框 中 选择 “连接 ”选项 卡 , 在 局 域 网 设置 中 选中 “代理 服务 器 ”, 输 入 代理 服 
务 器 地 址 和 端口 , 单 击 “ 高 级 ”按钮 可 进行 不 使 用 代理 地 址 的 设 定 。 使 用 代理 服务 器 会 使 访 
问 速 度 变 慢 , 但 确保 了 自己 主机 的 安全 。 

(4) 防止 对 用 户 名 和 口令 的 攻击 。 对 付 这 种 攻击 的 方法 ,最 好 是 将 涉及 用 户 名 与 口令 
的 程序 封装 在 服务 器 端 ,尽量 少 在 ASP 文件 里 出 现 。 涉 及 与 数据 库 连 接 的 用 户 名 与 口令 应 
给 予 最 小 的 权限 。 出 现 次 数 多 的 用 户 名 与 口令 可 以 写 在 一 个 位 置 比较 隐蔽 的 包含 文件 中 。 
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如 果 涉 及 与 数据 库 连 接 , 在 理想 状态 下 只 给 它 以 执行 存储 过 程 的 权限 , 千 万 不 要 直接 给 予 该 
用 户 修改 .插入 、 删 除 记录 的 权限 。 为 防止 跳 过 验证 的 攻击 ,可 以 在 需要 经 过 验证 的 ASP 页 
面 跟踪 一 个 页 面 的 文件 名 ,只 有 从 上 一 页 面 转 进 来 的 会 话 才能 读 取 这 个 页 面 。 此 外 ,用 户 在 
进行 密码 设置 时 一 定 要 将 其 设置 得 复杂 些 , 并 且 不 要 以 自己 的 生日 和 电话 甚至 用 户 名 作为 
密码 ,因为 一 些 密码 破解 软件 可 以 让 破解 者 输入 与 被 破解 用 户 相关 的 信息 ,如 生日 等 ,然后 
对 这 些 数据 构成 的 密码 进行 优先 尝试 。 另 外 ,应 该 经 常 更 换 密码 ,这样 使 其 被 破解 的 可 能 性 
又 下 降 了 不 少 。 


3. 综合 手段 


在 黑客 攻击 方面 ,人 们 可 以 通过 硬件 和 软件 ,数据 加 密 等 许多 方式 进行 防范 。 避 免 不 必 
要 的 数据 流失 ,维护 系统 的 健康 。 但 是 ,要 彻底 防范 黑客 的 攻击 不 仅仅 是 防火 墙 , 人 侵 检 测 、 
访问 控制 ,也 不 是 防 恶意 程序 代码 、 入 侵 监 测 、 身 份 认证 ,数据 加 密 等 产品 的 简单 堆砌 ,而 是 
包括 从 系统 到 应 用 、 从 设备 到 服务 的 比较 完整 的 ,体系 性 的 安全 手段 的 有 机 结合 。 

随 着 网 络 安 全 技术 的 不 断 发 展 , 必 将 会 有 新 的 黑客 攻击 方式 出 现 , 但 “知己 知 彼 , 百 战 不 
至 ”, 只 要 了 解 了 他 们 的 攻击 手段 ,拥有 丰富 的 网 络 知识 ,就 可 以 抵御 黑客 们 的 攻击 。 另 外 ， 
网 络 安全 是 对 付 威胁 .保护 网 络 资源 的 所 有 措施 的 总 和 ,涉及 政策 ,法律 .管理 ,教育 和 技术 
等 方面 的 内 容 。 网 络 安全 是 一 项 系统 工程 ,针对 来 自 不 同方 面 的 安全 威胁 ,需要 采取 不 同 的 
安全 对 策 。 从 法 律 、 制 度 、 管 理 和 技术 上 采取 综合 措施 ,以 便 相互 补充 ,达到 较 好 的 安全 


效果 。 

1. 名 词 解释 

(1) 防 火 墙 ， (2) 入侵 检 测 ; (3) 访 问 控制 ; (4)VPN; (5)PPTP; (6) 计 算 机 病毒 ; 
(7)DDoS 攻击 。 

2. 判断 题 

(1) 防火 墙 的 工作 方式 都 是 一 样 的 : 分 析出 入 防火 墙 的 数据 包 , 决 定 放行 还 是 把 它们 
扔 到 一 边 。( ) 

(2) 数据 包 过 滤 技 术 是 以 数据 包头 为 基础 ,按照 路 由 器 配置 中 的 一 组 规则 将 数据 包 分 
类 ,然后 在 网 络 层 对 数据 包 进 行 选 择 ,选择 的 依据 是 系统 内 设置 的 过 滤 逻 辑 。( ) 

(3) 基于 对 象 的 访问 控制 ,DAC 模型 的 主要 任务 都 是 对 系统 中 的 访问 主体 进行 权限 管 
理 ,而 MAC 模型 则 对 受 控 对 象 进行 权限 管理 。( ) 

(4) 在 TBAC 中 ,对 象 的 访问 权限 控制 并 不 是 静止 不 变 的 ,而 是 随 着 执行 任务 的 上 下 文 
环境 发 生变 化 。( ) 

(5) 基于 角色 的 访问 控制 模型 (RBAC) 的 基本 思想 是 通过 权限 认证 身份 获得 访问 许可 
权 。( ) 

(6) 木马 病毒 和 其 他 病毒 一 样 都 是 一 种 人 为 的 程序 ,都 属于 计算 机 病毒 。 与 以 前 的 计 
算 机 病毒 不 同 , 木 马 病毒 的 作用 是 赤裸 裸 地 偷偷 监视 别人 的 所 有 操作 和 盗窃 别人 的 各 种 密 
码 和 数据 等 重要 信息 。( 》 
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3. 填空 题 

(1) 从 原理 上 来 分 ,防火 墙 可 以 分 成 4 种 类 型 : 
和 

(2) 入侵 检测 系统 所 采用 的 技术 可 分 为 与 两 种 。 

(3) 对 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ,一 般 通 过 三 种 
技术 手段 进行 分 析 : 和 

(4) 访问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 大 类 。 访 问 控制 系统 一 般 包 
括 


(5) 虚拟 专用 网 的 优点 包括 : § 
(6) 供应 和 配置 机 制 包 括 和 协议 以 及 管理 工具 和 协议 。 
(7) 计算 机 病毒 的 特点 包括 复制 性 、 和 破坏 性 。 
(8) 黑客 防范 的 基本 措施 有 网 
4. 选择 题 
(1) 防火 墙 配置 的 方式 有 ( ) 。 
A. Easy-done 方式 B. Dual-homed 方式 
C.， Screened-host 方式 D. Screened-subnet 方式 
(2) 以 下 关于 防火 墙 技术 的 发 展 ,( ”) 是 正确 的 。 
A. 第 一 代 防 火 墙 ,采用 包 过 滤 技 术 
B. 第 二 代 防 火 墙 ,电路 层 防 火 墙 
C. 第 三 代 防 火 墙 ,应 用 层 防火 墙 
D. 第 四 代 防 火 墙 ,基于 动态 包 过 滤 技 术 , 后 来 演变 为 状态 监视 技术 
(3) 基于 主机 的 人 侵 检 测 系统 的 弱点 是 ( )。 
A. 基于 主机 的 IDS 需要 安装 在 需要 保护 的 设备 上 ,会 降低 系统 效率 
B. 基于 主机 的 人 侵 系 统 容 易 受 到 外 界 的 系统 攻击 
C. 基于 主机 的 人 侵 检 测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 
D. 全 面部 署 主机 入 侵 检测 系统 的 代价 较 大 
(4) 人 侵 检测 利用 的 信息 一 般 来 自 ( )5 
A. 客户 的 需求 和 期 望 B. 系统 和 网 络 日 志文 件 
C. 目录 和 文件 中 不 期 望 的 改变 D. 系统 漏洞 
(5) 访问 控制 的 功能 主要 有 ( )。 
A. 防止 非法 的 主体 进入 受 保护 的 网 络 资源 
B. 保证 系统 数据 的 完备 性 
C. 允许 合法 用 户 访问 受 保护 的 网 络 资 源 
D. 允许 合法 用 户 对 受 保护 的 网 络 资源 进行 非 授 权 的 访问 
(6) 操作 系统 的 用 户 范围 很 广 , 拥 有 的 权限 也 不 同 ,其 权限 包括 以 下 ( Ns 
A. 系统 管理 员 。 这 类 用 户 就 是 系统 管理 员 , 具 有 最 高 级 别 的 特权 ,可 以 对 系统 任 
何 资源 进行 访问 并 具有 任何 类 型 的 访问 操作 能 力 
B. 系统 安全 员 。 管 理 系统 的 安全 机 制 ,按照 给 定 的 安全 策略 ,设置 并 修改 用 户 和 
访问 客体 的 安全 属性 ; 选择 与 安全 相关 的 审计 规则 
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C. 系统 审计 员 。 负 责 管理 与 安全 有 关 的 审计 任务 
D. 一 般 用 户 。 可 以 对 各 种 数据 进行 访问 和 调查 
(7) L2TP 作为 “强制 ?隧道 模型 是 让 拨号 用 户 与 网 络 中 的 另 一 点 建立 连接 的 重要 机 
制 。 建 立 过 程 如 下 : 
Qa 在 政策 配置 文件 或 NAS 与 政策 服务 器 进行 协商 的 基础 上 ,NAS 和 L2TP 接 人 服务 
器 动态 地 建立 一 条 L2TP 隧道 ; 
@ 用 户 通过 该 隧道 获得 VPN 服务 ; 
@ 用 户 通过 NAS 的 L2TP 接 人 服务 器 身份 认证 ; 
@ 用 户 通过 Modem 与 NAS 建立 连接 ; 
@ 用 户 与 L2TP 接 和 人 服务 器 之 间 建 立 一 条 点 对 点 协议 访问 服务 隧道 。 
A. DOQOQOO B. DOOOO 
C. @OOOO D. GODOO 
(8) RSVP 是 第 三 层 协议 , 它 独立 于 各 种 网 络 媒介 。RSVP 有 两 个 重要 的 消息 : PATH 
消息 ,从 发 送 者 到 接收 者 ; RESV 消息 ,从 接收 者 到 始 发 者 。RSVP 消息 包含 ( 民 
A. 网 络 如 何 识别 一 个 会 话 流 
B. 用 户 数据 
C. 要 求 网 络 为 会 话 流 提供 的 服务 类 型 
D. 政策 信息 
5. 简 答题 
(1) 防火 墙 硬件 体系 结构 经 历 过 通用 CPU 架构 .ASIC 架构 和 网 络 处 理 器 架构 ,请 简 述 
这 几 种 构架 的 特点 。 
(2) 简 述 基于 主机 的 人 侵 检测 系统 及 特点 。 
(3) 基于 网 络 的 人 侵 检测 系统 有 哪些 优点 和 缺点 ? 
(4) TBAC 模型 由 工作 流 、 授 权 结 构 体 、 受 托 人 集 、 许 可 集 4 部 分 组 成 ,请 简单 介绍 这 
4 部 分 。 
(5) 黑客 攻击 有 哪些 典型 的 模式 ? 
(6) 木马 病毒 藏身 方法 有 哪些 ? 
(7) 人 侵 检测 的 步骤 是 怎样 的 ? 
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本 章 将 介绍 信息 安全 标准 体系 、 信 息 安全 管理 标准 体系 ,信息 安全 等 级 标准 和 信息 安全 
测评 认证 。 要 求学 生 了 解 信息 安全 体系 。 


(6.1 信息 安全 标准 体系 概述 
= 


这 一 节 是 信息 安全 标准 概述 ,包括 标准 和 标准 化 的 概念 ,标准 化 的 必要 性 与 重要 性 、 标 
准 化 分 类 与 分 级 ,标准 的 实施 。 


5.1.1 标准 概述 
1.“ 标 准 " 的 概念 


1983 年 在 我 国 颁布 的 国家 标准 (GB 3935。 1 一 83) 中 对 标准 的 定义 是 :“ 标 准 是 对 重复 
性 事物 和 概念 所 做 的 统一 规定 。 它 以 科学 .技术 和 实践 经 验 的 综合 成 果 为 基础 ,经 有 关 方面 
协商 一 致 ,由 主管 机 构 批准 ,以 特定 形式 发 布 ,作为 共同 遵守 的 准则 和 依据 。” 

1983 年 在 我 国 颁 布 的 国家 标准 (GB 3935。 1 一 83) 中 对 标准 化 的 定义 是 :“ 在 经 济 、 技 
术 、 科 学 及 管理 等 社会 实践 中 ,对 重复 性 事物 和 概念 ,通过 制定 ,发布 和 实施 标准 ,达到 统一 ， 
以 获得 最 佳 秩序 和 社会 效益 。” 

实践 证 明 ,标准 化 在 经 济 发 展 中 不 仅 是 必要 的 ,而 且 对 其 具有 非常 重要 的 作用 : 标准 化 
可 提高 产品 质量 、 增 加 产量 ; 标准 化 便于 科学 化 ,现代 化 管理 ; 标准 化 有 利于 专业 化 协作 ; 
标准 化 可 减少 浪费 、 增 加 有 效 性 ; 标准 化 可 促进 世界 贸易 交流 ; 有 利于 促进 技术 进步 。 


2. 标准 化 分 类 


可 以 把 标准 分 为 技术 标准 、 管 理 标准 和 工作 标准 三 大 类 。 

(1) 技术 标准 。 技 术 标 准 是 对 标准 化 领域 中 需要 协调 统一 的 技术 事项 所 制定 的 标准 。 
技术 标准 包括 基础 技术 标准 .产品 标准 工艺 标准 、 检 测试 验 标准 .设备 标准 、 原 材料 标准 、, 半 
成 品 标准 、 外 购 件 标准 .安全 卫生 环保 标准 等 。 

(2) 管理 标准 。 管 理 标准 是 对 标准 化 领域 中 需要 协调 统一 的 管理 事项 所 制定 的 标准 。 
管理 标准 主要 是 对 管理 目标 \ 管 理 项 目 管理 程序 管理 方法 和 管理 组 织 所 作 的 规定 。 管 理 
标准 包含 管理 基础 标准 ,技术 管理 标准 、 经 济 管理 标准 ,行政 管理 标准 和 生产 经 营 管理 标准 
5 大 类 。 


(3) 工作 标准 。 工 作 标准 是 对 工作 的 责任 .权利 、 范 围 质 量 要 求 、 程 序 . 效 果 、 检 查 方 
法 考核 办 法 等 所 制定 的 标准 。 工 作 标准 一 般 包 括 以 下 内 容 : 工作 的 目的 和 范围 .工作 的 构 
成 和 程序 .工作 的 责任 和 权利 .工作 的 质量 要 求 和 效果 、 工 作 的 检查 和 考评 .与 相关 工作 的 协 
作 与 配合 。 

工作 标准 对 于 提高 工作 秩序 ,保证 工作 质量 ,改善 协作 关系 ,提高 工作 效率 有 重要 作用 。 
工作 标准 一 般 可 以 划分 为 部 门 工 作 标准 和 岗位 工作 标准 。 

3. 标准 分 级 

在 更 大 范围 内 ,标准 可 以 分 为 国际 标准 、 洲 际 标准 、 国 家 标准 ,行业 标准 、 地 方 标准 、 企 业 
标准 和 项 目 7 级 。 但 是 ,根据 (中 华人 民 共 和 国标 准 化 法 》(1988 年 12 月 29 日 公布 ) 的 规 
定 , 我 国标 准 分 为 国家 标准 ,行业 标准 、 地 方 标准 和 企业 标准 4 级。 

1) 国家 标准 

国家 标准 是 对 全 国 技 术 经 济 发 展 有 重大 意义 而 必须 在 全 国 范围 内 统一 的 标准 。《 标 准 
化 法 ) 规 定 :“ 对 需要 在 全 国 范围 内 统一 的 技术 要 求 ,应 当 制 定 国家 标准 。” 

国家 标准 是 我 国标 准 体系 中 的 主体 。 国 家 标准 一 经 批准 发 布 实施 ,与 国家 标准 相 重 复 
的 行业 标准 、 地 方 标准 即行 废止 。 国 家 标准 由 国务 院 标准 化 行政 主管 部 门 编制 计划 ,组 织 草 
拟 ,统一 审批 编号 和 发 布 ,以 保证 国家 标准 的 科学 性 .权威 性 和 统一 性 。 

国家 标准 的 编号 由 国家 标准 代号 .标准 发 布 顺序 号 和 发 布 的 年 号 ( 即 发 布 年 份 的 后 两 位 
数字 ) 组 成 。 根 据 ( 国 家 标准 管理 办 法 ) 的 规定 ,国家 标准 的 代号 由 大 写 的 汉语 拼音 字母 构 
成 。 强 制 性 国家 标准 代号 为 GB, 推 荐 性 国家 标准 代号 为 GB/T。 

2) 行业 标准 

行业 标准 是 指 全 国 性 的 各 行业 范围 内 统一 的 标准 。《 标 准 化 法 ?规定 :“ 对 没有 国家 标 
准 而 又 需要 在 全 国 某 个 行业 范围 内 统一 的 技术 要 求 ,可 以 制定 行业 标准 。 行 业 标准 由 国务 
院 有 关 行 政 主管 部 门 制定 ,并 报国 务 院 标准 化 行政 主管 部 门 备案 ,在 公布 国家 标准 之 后 ,该 
项 行业 标准 即行 废止 。” 

行业 标准 是 全 国 某 个 行业 范围 内 需要 统一 的 技术 要 求 , 是 专业 性 较 强 的 标准 ,在 相应 的 
国家 标准 实施 后 即行 废止 ,由 国务 院 有 关 行 政 主管 部 门 制定 审批 ,编号 和 发 布 。 行业 标准 
是 国家 标准 的 补充 。 行 业 标 准 由 国务 院 有 关 行 政 主管 部 门 统一 制定 审批、 编号 和 发 布 ,并 
报国 务 院 标准 化 行政 主管 部 门 备案 。 

行业 标准 编号 由 行业 标准 代号 ,行业 标准 顺序 号 和 发 布 年 号 组 成 。 根 据 ( 行 业 标准 管理 
办 法 ) 规 定 ,行业 标准 代号 由 国务 院 标准 化 行政 主管 部 门 规定 ,在 尚 无 新 规定 的 情况 下 , 仍 沿 
用 原 部 标准 代号 。 行 业 标准 也 有 强制 性 标准 (ZB) 和 推荐 性 标准 (ZB/T) 两 种 。 

3) 地 方 标准 

地 方 标准 是 指 在 某 个 省 、 自 治 区 、 直 辖 市 范围 内 需要 统一 的 标准 。《 标 准 化 法 ) 规 定 : 
“没有 国家 标准 和 行业 标准 而 又 需要 在 省 、 自 治 区 、 直 辖 市 范围 内 统一 的 工业 产品 的 安全 卫 
生 要 求 ,可 以 制定 地 方 标准 。 地 方 标准 由 省 、 自 治 区 、 直 辖 市 标准 化 行政 主管 部 门 制定 ; 并 
报国 务 院 标准 化 行政 主管 部 门 和 国务 院 有 关 行 政 主管 部 门 备案 。 在 公布 国家 标准 或 者 行业 
标准 之 后 ,该 项 地 方 标准 即行 废止 ”。 

地 方 标准 编号 由 地 方 标准 代号 、 标 准 顺 序号 和 发 布 年 号 组 成 。 根 据 ( 地 方 标准 管理 办 
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法 ) 的 规定 ,地 方 标准 代号 由 汉语 拼音 字母 DB 加 上 省 .自治 区 .直辖 市 行政 区 划 代 码 前 两 位 
数字 再 加 和 斜 线 , 组 成 强制 性 地 方 标准 代号 ; 再 加 工 则 组 成 推荐 性 地 方 标准 代号 。 

4) 企业 标准 

企业 标准 是 指 由 企业 制定 的 产品 标准 和 为 企业 内 需要 协调 统一 的 技术 要 求 和 管理 , 工 
作 要 求 所 制定 的 标准 。 企 业 标准 是 企业 组 织 生产 经 营 活 动 的 依据 。 

《标准 化 法 ) 规 定 :“ 企 业 生 产 的 产品 没有 国家 标准 和 行业 标准 的 ,应 当 制 定 企 业 标 准 ， 
作为 组 织 生 产 的 依据 。 企 业 的 产品 标准 须 报 当地 政府 标准 化 行政 主管 部 门 和 有 关 行 政 主管 
部 门 备案 。 已 有 国家 标准 或 行业 标准 的 ,国家 鼓励 企业 制定 严 于 国家 标准 或 行业 标准 的 企 
业 标 准 , 在 企业 内 部 适用 。” 

凡是 取得 企业 法 人 资格 的 ,无论 是 国有 企业 ,还 是 集体 企业 、 个 体 企业 、 乡 镇 企业 ,或 者 
建立 在 我 国境 内 的 外 商 投资 企业 ,都 有 权利 和 义务 按照 (标准 化 法 》 的 规定 制定 企业 标准 , 作 
为 组 织 生产 的 依据 ,并 按 规定 上 报 备案 。 

企业 标准 编号 由 企业 标准 代号 ,标准 顺序 号 和 发 布 年 号 组 成 。 根 据 ( 企 业 标准 化 管理 办 
法 ) 规 定 , 企 业 标准 代号 由 汉语 拼音 字母 Q 加 斜 线 再 加 上 企业 代号 组 成 。 企 业 代 号 可 用 汉 
语 拼音 字母 或 阿拉 伯 数 字 或 两 者 兼用 ,具体 办 法 由 当地 行政 主管 部 门 规定 。 


4. 标准 化 的 管理 原理 


1) 系统 效应 原理 

一 个 企业 要 实施 标准 化 ,需要 有 多 个 标准 同时 配合 ,这 是 一 个 系统 工程 。 实 践 证 明 : 标 
准 系统 的 效应 不 是 来 自 于 某 个 标准 本 身 , 它 是 多 个 标准 互相 协同 的 结果 ,并 且 这 个 效应 超过 
标准 个 体 效应 的 总 和 ,这 就 是 系统 效应 原理 。 因 此 ,企业 的 标准 化 工作 要 想 收 到 实效 ,必须 
建立 标准 系统 。 多 个 标准 共同 实施 时 ,关键 是 标准 之 间 的 互相 关联 互相 协调 、 互 相 适 应 。 
把 握 每 一 个 标准 出 发 点 ,和 它 在 系统 中 的 位 置 .所 起 的 作用 以 及 它 与 相关 标准 之 间 的 关系 
等 。 这 样 才能 制定 出 切合 实际 的 标准 ,这 样 的 标准 系统 才能 产生 较 好 的 系统 效应 。 

2) 结构 优化 原理 

一 个 标准 系统 是 由 多 个 标准 组 成 的 ,这 些 标准 在 系统 中 的 位 置 不 是 杂乱 无 章 的 ,每 个 标 
准 都 有 自己 的 位 置 , 且 彼 此 之 间 层 次 分 明 , 时 间 排 列 有 序 。 系 统 效应 的 大 小 ,很 大 程度 上 取 
决 于 系统 是 否 具有 良好 的 组 织 结构 。 实 践 证 明 : 标准 系统 的 结构 不 同 , 其 效应 也 会 不 同 , 只 
有 经 过 优化 的 系统 结构 才能 产生 系统 效应 。 系 统 结构 的 优化 ,应 按照 结构 与 功能 的 关系 , 调 
整 和 处 理 标 准 系统 的 阶层 秩序 、 时 间 序 列 ,数量 比例 以 及 它们 的 合理 组 合 。 这 就 是 结构 优化 
原理 的 含义 。 根 据 这 一 原理 ,在 对 标准 系统 实施 的 过 程 中 ,应 不 断 协调 彼此 的 关系 ,及 时 发 
现 结构 的 不 合理 ,并 加 以 调整 。 

3) 有 序 发 展 原理 

标准 系统 的 结构 经 过 优化 之 后 ,系统 内 部 各 要 素 之 间 彼 此 协调 ,系统 与 其 外 部 环境 之 间 
也 保持 适应 的 状态 。 把 这 种 状态 叫做 系统 的 稳定 状态 ,系统 只 有 处 于 稳定 状态 才能 正常 地 
发 挥 其 功能 ,产生 系统 效应 。 当 外 部 环境 发 生变 化 时 ,系统 不 断 调整 ,逐步 适应 环境 的 变化 ， 
稳定 向 前 发 展 。 如 果 在 系统 形成 和 发 展 过 程 中 ,对 系统 内 部 、 外 部 因素 之 间 关 系 处 理 不 当 ， 
便 可 能 降低 系统 结构 的 有 序 度 ,使 系统 向 无 序 方向 转化 。 此 外 ,即使 原 有 的 系统 结构 状态 较 
好 ,也 会 由 于 外 部 环境 的 变化 ,使 系统 中 的 个 别 要 素 首先 发 生变 化 ,从 而 使 要 素 之 间 的 联系 
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变 得 不 稳定 ,由 此 也 会 向 无 序 方向 演化 。 

4) 反馈 控制 原理 

标准 系统 的 存在 与 发 展 , 不 仅 依赖 于 其 内 部 要 素 的 相互 作用 ,同时 还 依赖 于 它 和 周围 环 
境 的 相互 作用 , 恰 是 这 两 种 作用 构成 了 标准 系统 发 展 的 动力 。 标 准 系统 同 环境 的 联系 表现 
在 它 和 环境 之 间 物 质 和 信息 的 不 断交 换 过 程 中 ,标准 系统 从 环境 得 到 各 种 信息 之 后 , 据 以 调 
整 自己 的 结构 ,增加 必要 的 标准 ,使 标准 系统 同 环境 相 适 应 。 实 践 证 明 : 标准 系统 演化 、 发 
展 以 及 保持 结构 稳定 性 和 环境 适应 性 的 内 在 机 制 是 反馈 控制 。 这 就 是 反馈 控制 原理 ,因此 
标准 系统 在 建立 和 发 展 过 程 中 ,只 有 通过 经 常 的 反馈 ,不 断 地 调节 同 外 部 环境 的 关系 ,提高 
系统 的 适应 性 和 稳定 性 ,才能 有 效 地 发 挥 出 系统 效应 。 标 准 系统 同 外 部 环境 的 适应 性 不 可 
能 自发 实现 ,需要 控制 系统 (管理 机 构 ) 实 行 强 有 力 的 反馈 控制 。 


5. 标准 化 的 过 程 


标准 化 的 一 个 具体 过 程 包 括 标 准 的 制定 、 贯 彻 .效果 评定 、 修 订 等 几 个 主要 部 分 。 不 过 ， 
这 几 个 过 程 还 可 以 细 分 为 确定 项 目 、 调 查 研究 、 试 验 验证 ,标准 起 草 、 审 查 定稿 审批 发 布 、 出 
版 发 行 、 贯 彻 准备 、 贯 彻 实施 、 标 准 检查 、 技 术 监 督 效 果 评定 、 标 准 修改 等 。 其 具体 过 程 如 
图 5-1 所 示 。 


Ee = 
1 调查 研究 | 一 | 试验 验证 
1 | 确定 项 目 三 一 I 1 

| 


审查 定稿 = 一 起 草 标准 


图 5-1 标准 化 的 具体 过 程 


5.1.2 信息 安全 标准 体系 


信息 安全 标准 是 确保 信息 安全 的 产品 和 系统 在 设计 、 研 发 .生产 、 建 设 , 使 用 、 测 评 中 解 
决 其 一 致 性 ` 可 靠 性 、 可 控 性 、 先 进 性 和 符合 性 的 技术 规范 、 技 术 依据 。 信 息 安全 标准 是 我 国 
信息 安全 保障 体系 的 重要 组 成 部 分 ,是 政府 进行 宏观 管理 的 重要 手段 。 信 息 安全 保障 体系 
的 建设 应 用 是 一 个 极其 庞大 的 复杂 系统 ,没有 配套 的 安全 标准 就 不 能 构造 出 一 个 可 用 的 信 
息 安 全 保障 体系 。 信 息 安 全 标准 化 工作 对 于 解决 信息 安全 问题 具有 重要 的 技术 支撑 作用 。 
信息 安全 标准 化 不 仅 关系 到 国家 安全 ,同时 也 是 保护 国家 利益 ,促进 产业 发 展 的 一 种 重要 手 
段 。 在 互联 网 飞速 发 展 的 今天 ,网 络 和 信息 安全 问题 不 容 忽视 ,积极 推动 信息 安全 标准 化 ， 
牢 牢 掌握 在 信息 时 代 全 球 化 竞争 中 的 主动 权 是 非常 重要 的 。 


和 


™ 


22 


SA 


物 联 网 安全 教程 


1. 国际 信息 安全 管理 标准 


国际 上 ,信息 安全 标准 化 工作 兴起 于 20 世纪 70 年 代 中 期 ,80 年 代 有 了 较 快 的 发 展 ,90 
年 代 引 起 了 世界 各 国 的 普遍 关注 。 

1) 国际 信息 安全 组 织 

目前 世界 上 约 有 近 300 个 国际 和 区 域 性 组 织 , 制 定 标准 或 技术 规则 。 与 信息 安全 标准 
化 有 关 的 主要 的 组 织 有 国际 标准 化 组 织 (ISO)、 国 际 电工 委员 会 (IEC)、 国 际 电信 联盟 
(ITU) Internet 工程 任务 组 (IETF) 等 。 

(1) 国际 标准 化 组 织 。1947 年 2 月 23 日 开始 工作 。ISO/IEC JTC1( 信 息 技术 标准 化 
委员 会 ) 所 属 SC 27( 安 全 技术 分 委员 会 ) 的 前 身 是 SC20( 数 据 加 密 分 技术 委员 会 ) ,主要 从 
事 信息 技术 安全 的 一 般 方法 和 技术 的 标准 化 工作 。 而 ISO/TC68 负责 银行 业务 应 用 范围 内 
有 关 信 息 安 全 标准 的 制定 , 它 主要 制定 行业 应 用 标准 ,在 组 织 上 和 标准 之 间 与 SC27 有 着 密 
切 的 联系 。ISO/IEC JTC1 负责 制定 标准 主要 是 开放 系统 互 连 , 密 钥 管 理 、 数 字 签 名 ,安全 
的 评估 等 方面 的 内 容 。 

(2) 国际 电工 委员 会 。 成 立 于 1906 年 10 月 ,是 世界 上 成 立 最 早 的 专门 国际 标准 化 机 
构 。 在 信息 安全 标准 化 方面 ,除了 与 ISO 联合 成 立 了 JTC1 下 分 委员 会 外 ,还 在 电信 、 电 子 
系统 、 信 息 技术 和 电磁 兼容 等 方面 成 立 技术 委员 会 ,如 TC56 可 靠 性 、TC74 IT 设备 安全 和 
功效 .TC77 电磁 兼容 .TC 108 音频 /视频 .信息 技 术 和 通信 技术 电子 设备 的 安全 等 ,并 制定 
相关 国际 标准 ,如 信息 技术 设备 安全 (IEC 60950) 等 。 

(3) 国际 电信 联盟 。 成 立 于 1865 年 5 月 17 日 ,所 属 的 SG17 组 主要 负责 研究 通信 系统 
安全 标准 。SG17 组 主要 研究 的 有 通信 安全 项 目 、. 安 全 架构 和 框架 .计算 安全 .安全 管理 .用 
于 安全 的 生物 测定 、 安 全 通信 服务 。 此 外 ,SG16 和 下 一 代 网 络 核心 组 也 在 通信 安全 、H323 
网 络 安全 、 下 一 代 网 络 安全 等 标准 方面 进行 了 研究 。 目 前 ITU-T 建议 书 中 大 约 有 40 多 个 
都 是 与 通信 安全 有 关 的 标准 。 

(4) Internet 工程 任务 组 。 始 创 于 1986 年 ,其 主要 任务 是 负责 互联 网 相关 技术 规范 的 
研发 和 制定 。 目 前 ,IETF 已 成 为 全 球 互联 网 界 最 具 权威 的 大 型 技术 研究 组 织 。IETF 标准 
制定 的 具体 工作 由 各 个 工作 组 承担 ,工作 组 分 成 8 个 领域 ,分别 是 Internet 路 由 、 传 输 、 应 用 
领域 等 ,著名 的 IKE 和 IPsec 都 在 RFC 系列 之 中 ,还 有 电子 邮件 ,网 络 认证 和 密码 标准 ,也 
包括 了 TLS 标准 和 其 他 的 安全 协议 标准 。 

2) 信息 安全 标准 

ISO 和 IEC 是 世界 范围 的 标准 化 组 织 , 各 国 的 相关 标准 化 组 织 都 是 其 成 员 , 他 们 通过 
各 技术 委员 会 参与 相关 标准 的 制定 。 近 年 来 ,国际 ISO/IEC 和 西方 一 些 国家 开始 发 布 和 改 
版 一 系列 信息 安全 管理 标准 ,使 安全 管理 标准 进入 了 一 个 繁忙 的 改版 期 。 这 表明 ,信息 安全 
管理 标准 已 经 从 零星 的 、 随 意 的 、 指 南 性 标准 ,逐渐 演变 成 为 层次 化 .体系 化 .覆盖 信息 安全 
管理 全 生命 周期 的 信息 安全 管理 体系 。 

ISOVIEC 联合 技术 委员 会 子 委员 会 27(ISO/IEC JTCI SC27) 是 信息 安全 领域 最 权威 和 
国际 认可 的 标准 化 组 织 , 它 已 经 为 信息 安全 保障 领域 发 布 了 一 系列 的 国际 标准 和 技术 报告 ， 
目前 最 主要 的 标准 是 ISO/IEC 13335、ISO/IEC 27000 系列 等 。ISO/IEC JTCISC27 的 信息 
安全 管理 标准 (ISO 13335)《IT 安全 管理 方针 ) 系 列 ( 第 1 一 5 部 分 ) 已 经 在 国际 社会 中 开发 
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了 很 多 年 。5 个 部 分 组 成 分 别 为 ISO/IEC 13335 一 1: 1996《1IT 安全 的 概念 与 模型 》; 
ISO/IEC 13335 一 2: 1997《IT 安全 管理 和 计划 制定 》; ISO/IEC 13335 一 3: 1998《IT 安全 管 
理 技术 》; ISO/IEC 13335 一 4: 2000《 安 全 措施 的 选择 》) 和 ISO/IEC 13335 一 5 网络 安全 管理 
方针 )。27000 系列 综合 信息 安全 管理 系统 要 求 、 风 险 管理 .度量 和 测量 以 及 实施 指南 等 一 
系列 国际 标准 是 目前 国际 信息 安全 管理 标准 研究 的 重点 。27000 系列 当前 已 经 发 布 和 在 研 
究 的 有 6 个 ,分 别 为 ISO/IEC 27000《 信 息 安全 管理 体系 基础 和 词汇 》; ISO/IEC 27001: 2005 
《信息 安全 管理 体系 要 求 》; ISO/IEC 27002(17799: 2005)《 信 息 安全 管理 实用 规则 》; 
ISO/IEC 27003《 信 息 安 全 管理 体系 实施 指南 》; ISO/IEC 27004《 信 息 安全 管理 测量 》 和 
ISO/IEC 27005《 信 息 安全 风险 管理 )。 随 着 ISO/IEC 27000 系列 标准 的 规划 和 发 布 ， 
ISOVIEC 已 形成 了 以 ISMS 为 核心 的 一 整套 信息 安全 管理 体系 。 


2. 我 国信 息 安全 管理 标准 


信息 安全 标准 是 我 国信 息 安全 保障 体系 的 重要 组 成 部 分 ,是 政府 进行 宏观 管理 的 重要 
依据 。 虽 然 国 际 上 有 很 多 标准 化 组 织 在 信息 安全 方面 制定 了 许多 的 标准 ,但 是 信息 安全 标 
准 事 关 国家 安全 利益 ,任何 国家 都 不 会 轻易 相信 和 过 分 依赖 别人 ,总 要 通过 自己 国家 的 组 织 
和 专家 制定 出 自己 可 以 信任 的 标准 来 保护 民族 的 利益 。 因 此 ,各 个 国家 在 充分 借鉴 国际 标 
准 的 前 提 下 ,制定 和 扩展 自己 国家 对 信息 安全 的 管理 领域 ,这 样 就 出 现 许多 国家 建立 了 自己 
的 信息 安全 标准 化 组 织 和 制定 本 国 的 信息 安全 标准 。 

1) 标准 组 织 发 展 

目前 ,我 国 按照 国务 院 授 权 , 在 国家 质量 监督 检验 检疫 总 局 管理 下 ,由 国家 标准 化 管理 
委员 会 统一 管理 全 国标 准 化 工作 ,下 设 有 255 个 专业 技术 委员 会 。 中 国标 准 化 工作 实行 统 
一 管理 与 分 工 负责 相 结合 的 管理 体制 ,有 88 个 国务 院 有 关 行 政 主管 部 门 和 国务 院 授权 的 有 
关 行 业 协会 分 工 管理 本 部 门 、 本 行业 的 标准 化 工作 ,有 31 个 省 自治区、 直辖 市 政府 有 关 行 
政 主管 部 门 分 工 管理 本 行政 区 域内 本 部 门 、 本 行业 的 标准 化 工作 。 

我 国信 息 安 全 标准 化 工作 虽然 起 步 较 晚 ,但 是 近年 来 发 展 较 快 ,入 世 后 标准 化 工作 在 公 
开 性 、 透 明度 等 方面 更 加 取得 了 实质 性 进展 。 我 国 从 20 世纪 80 年 代 开 始 ,本 着 积极 采用 国 
际 标 准 的 原则 ,转化 了 一 批 国际 信息 安全 基础 技术 标准 ,制定 了 一 批 符合 中 国 国情 的 信息 安 
全 标准 ,同时 一 些 重点 行业 还 颁布 了 一 批 信息 安全 的 行业 标准 ,为 我 国信 息 安全 技术 的 发 展 
做 出 了 很 大 的 贡献 。 据 统计 ,我 国 从 1985 年 发 布 第 一 个 有 关 信 息 安 全 方面 的 标准 以 来 到 
2004 年 年 底 共 制 定 、 报 批 和 发 布 有 关 信息 安全 技术 .产品 ` 测 评 和 管理 的 国家 标准 76 个 ,为 
信息 安全 的 开展 黄 定 了 基础 。 

与 国外 相 比 ,我 国 的 信息 安全 领域 的 标准 制定 工作 起 步 较 晚 ,但 随 着 2002 年 全 国信 息 
安全 标准 化 技术 委员 会 的 成 立 ,信息 安全 相关 标准 的 建设 工作 开始 走向 了 规范 化 管理 和 发 
展 的 快车 道 。 

2) 标准 化 组 织 

我 国有 关 部 门 十 分 关注 信息 安全 标准 化 工作 , 早 在 1984 年 7 月 就 组 建 了 数据 加 密 技术 
委员 会 ,1990 年 3 月 成 立 了 中 国信 息 协 会 (CIIA)。 数 据 加 密 技 术 委员 会 于 1997 年 8 月 改 
组 成 全 国信 息 技术 标准 化 委员 会 的 信息 安全 技术 分 委员 会 ,负责 制定 信息 安全 的 国家 标准 。 

(1) 全 国信 息 安全 标准 化 技术 委员 会 (TC260)。2002 年 4 月 ,我 国 成 立 了 “全 国信 息 安 
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全 标准 化 技术 委员 会 (TC260)”, 其 成 立 标 志 着 我 国信 息 安全 标准 化 工作 步 人 了 “归口 管理 、 
协调 发 展 ” 的 新 时 期 。 该 标 委 会 是 在 信息 安全 的 专业 领域 内 ,从 事 信息 安全 标准 化 工作 的 技 
术 工作 组 织 。 信 息 安全 标 委 会 设置 了 10 个 工作 组 ,其 中 信息 安全 管理 ( 含 工程 与 开发 ) 工 作 
组 (WG7) 负 责 对 信息 安全 的 行政 ,技术 、 人 员 等 管理 提出 规范 要 求 及 指导 指南 ,包括 信息 安 
全 管理 指南 、 信 息 安 全 管理 实施 规范 、 人 员 培 训 教 育 及 录用 要 求 、 信 息 安全 社会 化 服务 管理 
规范 、 信 息 安全 保险 业务 规范 框架 和 安全 策略 要 求 与 指南 。 目 前 , WG7 工作 组 正在 着 手 制 
定 推荐 性 国家 标准 (信息 技术 信息 安全 管理 实用 规则 》, 该 标准 的 采用 程度 为 等 同 采用 标准 ， 
也 就 是 说 该 标准 与 ISO/IEC 17799 相同 ,除了 纠正 排版 或 印刷 错误 .改变 标点 符号 .增加 不 
改变 技术 内 容 的 说 明和 指示 之 外 不 改变 标准 技术 的 内 容 。 

(2) 公安 部 信息 系统 安全 标准 化 技术 委员 会 。1999 年 3 月 31 日 经 公安 部 科技 局 批准 ， 
公安 部 信息 系统 安全 标准 化 技术 委员 会 正式 成 立 。 主 要 任务 是 在 公安 部 的 领导 下 ,负责 规 
划 和 制定 我 国信 息 安 全 标准 和 技术 规范 ,监督 技术 标准 的 实施 。 制 定 标准 的 工作 范围 包括 
计算 机 信息 系统 安全 保护 等 级 标准 .应 用 系统 安全 等 级 评估 检测 标准 .计算 机 信息 系统 安全 
产品 标准 .计算 机 信息 系统 安全 管理 标准 等 。 目 前 共 制 定 了 14 个 标准 。 

(3) 中 国 通信 标准 化 协会 网 络 与 信息 安全 技术 工作 委员 会 。2002 年 国家 计算 机 网 络 
与 信息 安全 管理 中 心 联合 中 国电 信和 集团 公司 .中国 移动 通信 和 集团 公司 、 中 国 网 络 通信 和 集团 公 
司 ,中国 联合 通信 和 集团 公司 铁道 通信 信息 有 限 责任 公司 、 中 国 卫 星 通信 集团 公司 等 10 个 单 
位 发 起 组 织 成 立 通 信安 全 标准 研究 组 ,并 得 到 信息 产业 部 科技 司 的 批准 。2003 年 12 月 , 根 
据 信息 产业 部 科技 司 和 中 国 通信 标准 化 协会 (CCSA) 的 有 关 决 定 , 将 通信 安全 研究 组 直接 
纳入 了 中 国 通信 标准 化 协会 ,成 立 了 网 络 与 信息 安全 技术 工作 委员 会 (TC8)。CCSA TC8 
主要 负责 研究 涉及 有 关 通 信安 全 技术 和 管理 标准 ,其 研究 领域 包括 面向 公众 服务 的 互联 网 
的 网 络 与 信息 安全 标准 、 电 信和 网 与 互联 网 结合 中 的 网 络 与 信息 安全 标准 、 特 殊 通信 和 领域 中 的 
网 络 与 信息 安全 标准 。TC8 设置 有 线 网 络 安全 工作 组 (WG1)、 无 线 网 络 安全 工作 组 
(WG2) ,安全 管理 工作 组 (WG3) 和 安全 基础 设施 工作 组 (WG4) 4 个 工作 组 。 

(4) 其 他 信息 安全 行业 标准 或 地 方 标准 。1991 年 ,国防 科学 技术 工业 委员 会 发 布 了 
《指挥 自动 化 计算 机 网 络 安 全 要 求 》(GJB 128 一 91) 《军队 通用 计算 机 系统 使 用 安全 要 求 》 
(GJB 1295 一 91) 。1994 年 发 布 了 《军用 计算 机 安全 术语 》(GJB 2255 一 95),1996 年 发 布 了 
《军用 计算 机 安全 评估 准则 》(GJB 2646 一 96) 。1993 年 ,国家 技术 监督 局 和 建设 部 联合 发 布 
了 《电子 计算 机 机 房 设 计 规范 》(GB 50174 一 93)。1993 年 ,电子 工业 部 发 布 了 《电子 计算 机 
机 房 施工 及 验收 规范 》(SJ/T 30003 一 93)。1998 年 ,中 国 证 监 会 颁布 了 《中 国 证 券 经 营 机 构 
营业 部 信息 系统 技术 管理 规范 (试行 )》《 证 券 经 营 机 构 营 业 部 信息 系统 技术 管理 规范 ( 试 
行 )》。2001 年 ,人 民 银 行 发 布 了 金融 行业 标准 《银行 卡 联网 联合 安全 技术 要 求 》(JR/T 
0003 一 2001) 。2002 年 ,北京 市 发 布 了 《党 政 机 关 信 息 系统 安全 测评 规范 》(DB11/T 171 一 
2002) ,上 海 市 发 布 了 《计算 机 信息 系统 安全 测评 通用 技术 规范 》(DB31/T 272 一 2002) ,山东 
省 发 布 了 《计算 机 信息 网 络 安全 管理 要 求 》DB37/T 313 一 2002) 等 。 


3. 信息 安全 标准 化 工作 的 发 展 趋势 


随 着 网 络 的 延伸 和 发 展 ,信息 安全 问题 受到 了 全 社会 前 所 未 有 的 普遍 关注 ,人 们 对 信息 
安全 的 理解 和 认识 更 加 深入 全 面 ,信息 安全 标准 化 的 工作 也 在 各 级 组 织 中 得 到 了 重视 。 信 


息 技 术 安全 标准 化 是 一 项 基础 性 工作 ,必须 统一 领导 、 统 筹 规划 、 各 方 参与 .分工 合作 ,以 保 
证 其 顺利 和 协调 发 展 。 

1) 走 国际 化 合作 之 路 

信息 安全 的 国际 标准 大 多 数 是 在 欧洲 、 美 国 等 工业 发 达 国 家 标准 的 基础 上 协调 产生 的 ， 
基本 上 代表 了 当今 世界 现代 信息 技术 的 发 展 水 平 。 我 国 的 信息 化 工作 起 步 较 晚 ,但 是 互联 
网 是 没有 国界 的 ,在 互联 网 上 使 用 的 产品 是 可 以 互联 互通 的 ,在 我 国 接 入 互联 网 的 那 一 天 
起 ,在 互联 网 上 产生 的 信息 安全 问题 就 同样 开始 威胁 我 国 的 网 络 , 所 以 借鉴 国外 成 熟 的 先进 
经 验 发 展 我 国 的 信息 化 建设 事业 是 十 分 必要 的 。 信 息 安 全 标准 化 工作 是 一 个 国际 性 的 工 
作 , 共 性 的 问题 多 于 个 性 ,本 着 积极 采用 国际 标准 的 原则 ,适时 地 转化 了 一 些 国际 信息 安全 
基础 技术 标准 为 我 国信 息 化 建设 服务 ,会 对 中 国 的 信息 安全 技术 起 到 一 个 快速 发 展 的 作用 。 

目前 ,我国 的 标准 化 工作 者 积极 参与 国际 标准 化 和 区 域 性 标准 化 活动 ,不 仅 参加 了 国际 
标准 化 组 织 和 国际 电工 委员 会 每 年 召开 的 各 类 高 层次 的 工作 会 议和 技术 会 议 ,同时 每 年 派 
出 100 多 个 代表 团 参 加 ISO、IEC 的 TC 和 SC 会 议 。 不 仅 主 动 地 采用 国际 标准 ,转化 国际 
标准 ,更 重要 的 是 有 计划 、 有 重点 地 参与 国际 标准 的 起 草 和 主动 承担 国际 标准 的 起 草 工作 ， 
包括 标准 试验 验证 和 讨论 的 全 过 程 ,逐步 使 我 国 的 信息 安全 标准 化 工作 与 国际 标准 化 工作 
的 计划 ,速度 以 及 试验 验证 工作 接轨 。 应 该 采取 积极 的 态度 ,对 国际 标准 要 花 大 力气 ,认真 
分 析 、 研 究 。 凡 是 符合 我 国 国情 ,有 利于 提高 信息 化 工作 质量 ,保护 国家 利益 的 标准 都 应 该 
加 速 采 用 为 我 国信 息 安 全 标准 化 工作 服务 。 

2) 走 商 业 化 发 展 之 路 

多 年 来 ,国家 标准 的 制 修订 经 费 主 要 来 源 于 政府 财政 拨款 ,一 直 作 为 补助 经 费 维 持 工 
作 , 靠 行政 命令 ,如 果 经 费 不 足 , 由 项 目 承担 单位 自行 解决 。 随 着 改革 开放 的 深入 和 信息 化 
工作 的 开展 ,对 信息 安全 标准 化 工作 的 要 求 越 来 越 高 ,企业 生产 产品 需要 标准 ,政府 管理 工 
作 需 要 标准 ,用 户 和 消费 者 保护 自己 的 合法 权益 也 需要 标准 。 形 势 变化 了 ,标准 的 需求 增加 
了 ,但 标准 化 工作 的 经 费 一 直 没 有 增加 ,对 于 政府 ,市 场 ,企业 和 社会 急需 的 标准 和 应 该 开展 
的 工作 ,对 于 大 量 应 该 修订 的 标准 无 力 进行 正常 的 修订 ,对 于 参与 国际 标准 化 活动 和 采用 国 
际 标准 工作 ,因为 不 可 能 有 足够 的 经 费 支持 ,而 使 信息 安全 标准 化 的 工作 受到 了 不 同 程度 的 
影响 。 今 后 采取 国家 的 更 多 投入 ,企业 的 大 力 支持 ,标准 出 版 物 在 发 行 工作 中 的 改革 ,提高 
标准 文本 的 出 售 价格 等 方法 ,使 信息 安全 标准 化 工作 逐步 进入 商业 化 运作 模式 ,使 标准 工作 
进入 到 一 个 良性 发 展 的 新 局 面 。 

3) 明确 研究 方向 

信息 安全 技术 近年 来 才 得 到 较 快 的 发 展 ,技术 与 规范 同样 重要 。 为 了 全 面 认识 和 了 和 解 
信息 技术 的 安全 标准 ,需要 对 国内 外 信息 技术 标准 化 的 情况 和 发 展 趋势 进行 深入 的 跟踪 和 
研究 。 今 后 在 信息 安全 标准 化 方面 需要 实施 的 工作 有 扎 扎 实 实地 抓 好 基础 性 工作 和 基础 设 
施 建 设 ,继续 推进 信息 安全 等 级 保护 、 信 息 安全 风险 评估 、 信 息 安全 产品 认证 认可 等 基础 性 
工作 ; 继续 加 快 以 密码 技术 为 基础 的 信息 保护 和 网 络 信任 体系 建设 ,进一步 完善 应 急 协调 
机 制 与 灾难 备份 工作 ; 进一步 加 强 互联 网 管理 ,创建 安全 、 健 康 、 有 序 的 网 络 环境 ; 进一步 
创建 产业 发 展 环境 支持 信息 安全 产业 发 展 ,加 快 信息 安全 学 科 建 设 和 人 才 培 养 , 加 强国 际 合 
作 与 交流 ,完善 信息 安全 的 管理 体制 和 机 制 。 
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C2 信息 安全 管理 标准 体系 


要 保证 信息 产品 和 信息 系统 的 安全 性 ,提高 用 户 对 信息 产品 和 信息 系统 安全 性 的 信心 ， 
就 必须 对 信息 安全 产品 以 及 提供 信息 安全 产品 、 信 息 安全 技术 与 服务 的 组 织 进行 评估 。 科 
学 的 信息 安全 评估 标准 是 信息 安全 测评 认证 的 基础 。 通 过 对 目前 国际 上 流行 的 信息 安全 评 
估 标 准 CC、BS7799、SSE-CMM 进行 分 析 , 并 从 其 产生 背景 适用 范围 .框架 结构 、 评 估 等 级 
和 侧重 点 等 方面 进行 综合 比较 ,其 中 英国 标准 机 构 (BSD) 制 定 的 BS7799 是 目前 国际 上 具有 
代表 性 的 信息 安全 管理 标准 。BS7799 围绕 风险 评估 从 管理 和 技术 两 方面 建立 了 一 整套 信 
息 安全 评估 体系 。 


5.2.1 BS7799 安全 管理 标准 
1. 标准 BS7799 概述 


BS7799 于 1995 年 首次 出 版 , 它 是 英国 标准 协会 集结 了 大 批 计算 机 与 信息 方面 有 丰富 
实践 与 管理 经 验 的 专家 撰写 的 一 个 专业 性 极 强 的 标准 , 它 提供 了 一 套 综合 的 ,由 信息 安全 管 
理 最 佳 惯例 组 成 的 实施 规则 ,其 目的 是 提供 工商 务 及 大 中、 小 型 组 织 的 信息 系统 在 大 多 数 
情况 下 所 需 的 控制 范围 .控制 方法 的 参考 基准 。1999 年 版 考虑 了 信息 处 理 技术 ,尤其 是 在 
网 络 和 通信 和 领域 的 应 用 的 近期 发 展 ,同时 还 强调 了 商务 涉及 的 信息 安全 及 信息 安全 的 责任 。 
标准 里 描述 了 很 多 种 控制 方式 ,使 用 的 组 织 可 以 结合 当地 的 系统 、 环 境 及 技术 条 件 有 选择 地 
进行 控制 ,根据 情况 加 以 补充 。 此 外 , 它 可 作为 诸如 制定 集团 方针 或 公司 之 间 达 成 贸易 协议 
的 基础 。 

1999 年 进行 了 BS7799 修订 换 版 , 它 是 一 个 组 织 的 全 面 或 部 分 信息 安全 管理 体系 评估 
的 基础 ,可 以 作为 一 个 正式 认证 方案 的 基础 。 它 基于 BS7799 一 1 信息 安全 管理 第 一 部 分 : 
信息 安全 管理 实施 规范 。BS7799 一 2 信息 安全 管理 体系 规范 ,对 组 织 建立 的 信息 管理 体系 
的 要 求 包 括 总 则 ,建立 管理 框架 .实施 文件 化 ,文件 控制 和 记录 6 个 要 求 ,具体 的 控制 细则 
包括 安全 方针 、 组 织 安全 、 资 产 归 类 及 控制 人 员 安 全 ,实物 与 环境 安全 ,通信 与 操作 管理 , 访 
问 控制 .系统 开发 与 维护 .商务 连续 性 管理 .依从 这 10 个 要 求 。 期 望 寻求 认证 的 组 织 可 采用 
BS7799 一 1 给 出 的 操作 性 较 强 的 要 素 建立 组 织 的 信息 安全 管理 体系 ,然后 对 照 BS7799 一 2 
实施 和 维护 以 达到 第 三 方 认证 机 构 的 认可 。“ 七 分 管理 三 分 技术 ”。 实 践 证 明 ,信息 安全 中 
由 于 人 员 、 组 织 和 管理 方面 的 原因 而 造成 的 影响 远大 于 安全 技术 和 产品 。 因 此 解决 安全 问 
题 , 人 们 越 来 越 重视 技术 和 产品 以 外 的 因素 ,BS7799 就 是 以 安全 管理 为 基础 ,提供 了 一 个 完 
整 的 切入 、 实 施 和 维护 的 文档 化 组 织 内 部 信息 安全 的 框架 。BS7799 规范 充分 反映 了 PDCA 
(Plan-Do-Control-Act) 的 思想 ,具体 体现 在 : 确定 信息 安全 管理 的 方针 和 范围 ,在 风险 评估 
的 基础 上 选择 适宜 的 控制 目标 与 控制 方式 并 进行 控制 ,制定 商务 持续 性 计划 ,建立 并 实施 信 
息 安全 管理 体系 。 


2. 标准 BS7799 的 结构 
BS7799 标准 包括 两 部 分 : BS7799 一 1: 1999《 信 息 安 全 管理 实施 细则 》，BS7799 一 
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2: 2002( 信 息 安全 管理 体系 规范 》。 其 中 ,BS7799 一 1: 1999 于 2000 年 12 月 通过 国际 标准 
化 组 织 认 证 正式 成 为 国际 标准 , 即 ISO/IEC 17799: 2000。 它 是 被 ISO 认可 为 速度 最 快 的 
一 个 标准 ,由 此 也 可 看 出 风险 评估 是 信息 安全 的 一 个 重要 发 展 趋势 。 

1) 标准 BS7799 一 1999 版 

BS7799 一 1: 1999(ISO/IEC 17799) 涵 盖 了 信息 安全 管理 所 有 安全 主题 , 它 按照 10 个 核 
心 领 域 组 织 为 10 个 管理 要 项 ,其 中 既 包 含 偏重 于 管理 的 信息 安全 方针 安全 组 织 、 人 员 安 全 
等 方面 ,也 有 偏重 于 技术 的 通信 和 操作 管理 、 系 统 访问 控制 等 内 容 , 每 一 部 分 针对 不 同 的 主 
题 或 范围 。 在 这 10 大 管理 要 项 中 ,又 细 分 了 36 个 管理 目标 、127 个 控制 措施 。 

BS7799 包括 安全 内 容 的 所 有 准则 , 它 的 每 一 节 控 制 细则 都 覆盖 了 不 同 的 主题 和 区 域 。 

(1) 安全 方针 : 为 信息 安全 提供 管理 导向 和 支持 。 

(2) 组 织 安全 : 管理 组 织 内 部 的 信息 安全 ,保持 被 第 三 方 访问 的 组 织 信息 的 处 理 设 施 
和 信息 资产 的 安全 ,确保 当 信息 处 理 委托 给 另 一 个 组 织 时 的 信息 安全 。 

(3) 资产 分 类 和 控制 : 对 组 织 资产 给 予 适当 的 保护 ,确保 信息 资产 受到 适当 程度 的 
保护 。 

(4) 人 员 安 全 : 减少 人 为 错误 .偷窃 .欺骗 和 资源 误 用 造成 的 风险 ; 确保 用 户 了 解 信息 
安全 的 威胁 和 相关 事项 ,在 他 们 的 正常 工作 中 进行 相应 的 培训 ,以 利于 信息 安全 方针 的 贯彻 
和 实施 ; 从 前 面 的 安全 事件 和 风险 中 汲取 教训 ,最 大 限度 降低 安全 的 损失 。 

(5) 物理 和 环境 的 安全 : 防止 对 业务 机 密 和 信息 进行 非法 访问 ,损坏 和 干扰 ,防止 资产 
丢失 ,损坏 或 泄露 以 及 商务 活动 的 中 断 ,防止 信息 和 信息 处 理 设备 损坏 或 失窃 。 

(6) 通信 和 操作 管理 : 确保 信息 处 理 设备 的 正确 和 安全 操作 ,降低 系统 失效 风险 ,保护 
软件 和 信息 的 完整 性 ,保持 信息 处 理 和 通信 的 完整 性 和 可 用 性 ,确保 网 络 的 信息 安全 措施 及 
其 支持 受到 保护 ,防止 资产 损坏 和 商务 活动 中 断 , 防 止 组 织 间 在 交换 信息 时 发 生 丢 失 、 更 改 
和 误 用 现象 。 

(7) 访问 控制 : 控制 信息 访问 ,防止 非 授 权 访 问 信息 系统 ,防止 非 授 权 用 户 访问 ,确保 
网 络 服务 受到 保护 ,防止 非 授权 访问 计算 机 ,防止 非 授 权 访问 信息 系统 中 的 信息 ,检查 非 授 
权 行 为 ,确保 使 用 移动 计算 机 和 远程 网 络 设备 的 信息 安全 。 

(8) 系统 开发 与 维护 : 确保 安全 性 已 构成 信息 系统 的 一 部 分 ,防止 应 用 系统 用 户 数据 
的 丢失 ,修改 或 误 用 ,保护 信息 的 机 密 性 、 真 实 性 和 完整 性 ,确保 IT 项 目 及 其 支持 活动 以 安 
全 的 方式 进行 ,维护 应 用 系统 软件 和 数据 的 安全 。 

(9) 商业 持续 规划 : 防止 商业 活动 的 中 断 及 保护 关键 商务 过 程 免 受 重大 失误 或 灾难 事 
故 的 影响 。 

(10) 符合 性 : 避免 违背 刑法 、 民 法 有关 法 令 法 规 或 合同 约定 事宜 及 其 他 安全 要 求 的 
规定 ; 确保 组 织 系 统 符合 安全 方针 和 标准 ; 使 效果 最 大 化 ,并 使 系统 审核 过 程 的 影响 最 
小 化 。 

1998 年 ,英国 公布 了 标准 的 第 二 部 分 (BS7799 一 2)《 信 息 安 全 管理 体系 规范 》, 它 规定 信 
息 安全 管理 体系 要 求 与 信息 安全 控制 要 求 ,是 一 个 组 织 的 全 面 或 部 分 信息 安全 管理 体系 评 
估 的 基础 ,可 以 作为 一 个 正式 认证 方案 的 根据 。 

2) 标准 BS7799 一 2002 版 

2002 年 9 月 5 日 ,BSI 发 布 了 最 新 版 的 BS7799 一 2: 2002 标准 ,新 版 的 标准 结构 如 下 : 
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引言 ,范围 ,引用 标准 ,术语 及 定义 ,信息 安全 管理 体系 ,管理 职责 ,资源 管理 ,ISMS 评审 , 改 
进 。BS7799 一 2: 2002 标准 结构 上 的 修订 更 加 贴近 1509001: 2000, 更 好 地 采用 了 过 程 的 方 
法 ,利用 PDCA 的 循环 不 断 改进 信息 安全 管理 体系 ,这 也 是 BS7799 一 2: 2002 与 BS7799 一 
2: 1999 的 一 个 重要 差别 。 

以 下 是 标准 改版 的 动因 : 修订 Bs7799 第 二 部 分 标准 ,主要 是 为 了 与 其 他 管理 体系 标准 
协调 一 致 ,例如 1509000 和 15014001; 引入 并 应 用 PDCA( 计 划 (Plan)、 实 施 (Do)、 检 查 
(Check) .措施 (Action) ) 过 程 模式 ,以 建立 实施 组 织 的 信息 安全 管理 体系 ,并 持续 改进 其 有 
效 性 。BS7799 几 个 要 求 ( 如 图 5-2 所 示 ) ， 


。 执 行 监控 程序 

。 定 期 评价 ISMS 的 有 效 性 

。 评 价 残 余 的 和 可 接受 风险 
的 等 级 

。 进 行内 部 ISMS 审 计 


“规划 风险 处 理 计划 ISMS 风 区 国 

。 实 施 风险 处 理 计划 I 

。 实 施 控制 定义 风险 评估 方法 

。 实 施 培 训 及 教育 计划 RN 

a 。 评 估 风 险 

。 管理 操作 。 识 别 并 估计 风险 处 理 能 力 

和 安 全 玖 从 。 选 择 控制 目标 和 控制 方 法 
悄 杜 厅 


。 准 备 一 个 适用 性 声明 


。 实 施 已 确定 的 改进 措施 
。 采 取 正 确 和 预防 性 行动 
。 应 用 已 学 到 的 教训 

。 与 兴趣 小 组 交流 结果 

。 确 保 改 进 措施 达到 目的 


。ISMS 的 定期 管理 审查 
。 记录 对 ISMS 有 影响 的 动 
作 和 事件 


图 5-2 BS7799 一 2 的 主要 过 程 与 步骤 


(1) 安全 策略 。 主 要 阐述 管理 层 制定 的 信息 安全 目标 和 原则 ,对 特别 重要 的 安全 策略 
进行 简要 说 明 ,通过 在 整个 组 织 内 颁布 信息 安全 策略 ,以 恰当 的 、 易 理解 的 方式 将 安全 策略 
传递 给 整个 组 织 的 成 员 ,表明 管理 层 对 信息 安全 的 支持 ` 要 求 和 承诺 。 所 有 的 安全 策略 要 进 
行 定期 的 评审 和 维护 。 

(2) 组 织 的 安全 。 主 要 阐述 从 组 织 架 构 上 对 信息 安全 管理 的 要 求 。 

(3) 主要 包括 。 建 立 安全 管理 机 构 ,负责 组 织 安全 策略 的 制定 和 审核 ,进行 安全 控制 的 
实施 和 组 织 间 的 安全 协调 ; 对 第 三 方 访问 的 安全 要 求 ; 信息 处 理 采用 外 包 形 式 时 的 安全 
要 求 。 

(4) 资产 分 类 和 管理 。 规 定 了 对 所 有 的 信息 资产 要 进行 标识 并 指定 责任 人 ,明确 安全 
责任 ; 对 信息 进行 分 类 ,明确 不 同 的 安全 需求 和 保护 等 级 。 

(5) 人 员 安 全 。 阐 述 了 雇员 录用 、 岗 位 职责 \ 保 密 性 协议 .安全 教育 培训 等 方面 的 要 求 。 

(6) 物理 和 环境 安全 。 对 安全 区 域 的 范围 .进出 安全 区 域 , 安 全 区 域 的 保护 、 在 安全 区 
域内 工作 ,设备 的 安置 和 保护 、 通 常 的 保护 措施 等 进行 了 规定 。 

(7) 通信 和 运营 管理 。 阐 述 了 设备 的 操作 规程 ,发生 事故 时 的 响应 、 责 任 分 离 、 系 统 的 
规划 和 了 验收、 防范 病毒 等 恶意 代码 、 信 息 备 份 .日 志 记录 、 网 络 管理 .介质 安全 管理 ,组 织 间 的 
信息 交换 等 方面 的 要 求 。 

(8) 访问 控制 。 主 要 阐述 了 访问 控制 的 策略 、 用 户 访 问 管理 ,用 户 权 限 和 责任 、 网 络 访 
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问 控制 、 操 作 系统 访问 控制 .应 用 系统 访问 控制 .系统 审计 、 移 动 计算 和 远程 工作 等 安全 
要 求 。 

(9) 系统 的 开发 和 维护 。 阑 述 了 在 进行 系统 开发 和 维护 时 的 一 些 安全 要 求 , 包 括 需 求 
分 析 阶 段 对 安全 需求 的 分 析 ,强调 信息 安全 工程 应 和 信息 系统 的 建设 同步 进行 才能 更 经 济 
有 效 。 应 用 系统 内 应 设计 有 控制 和 审计 机 制 , 对 应 用 系统 内 的 信息 进行 保护 。 

(10) 业务 连续 性 管理 。 业 务 连 续 性 通常 是 企业 最 关注 的 ,该 部 分 阐述 了 如 何 建 立业 务 
连续 性 计划 ,如何 进行 业务 连续 性 计划 的 维护 和 测试 等 。 

(11) 符合 性 。 该 部 分 主要 强调 了 信息 系统 的 设计 、 运 行使 用 和 管理 要 符合 国家 法 律 、 
法 规 和 政策 的 要 求 ; 对 信息 系统 进行 安全 审计 、 检 验 信息 安全 控制 措施 是 否 与 安全 策略 的 
要 求 一 致 ,同时 对 审计 工具 进行 有 效 保护 。 


3. 标准 BS7799 的 不 足 


BS7799 标准 也 存在 不 足 之 处 : 

(1) 标准 中 的 控制 目标 、 控 制 方式 的 要 求 并 没有 包含 信息 安全 管理 的 全 部 ,组 织 可 以 根 
据 需 要 考虑 另外 的 控制 目标 和 控制 方式 。 

(2) 作为 一 个 管理 标准 , 它 不 具有 一 个 技术 标准 所 必需 的 测量 精度 。 

(3) BS7799 没有 在 要 项 和 目标 之 间 区 分 重要 性 ,没有 设置 权重 , 它 将 各 个 层次 内 的 条 
目 并 列 看 待 ,这 不 太 符 合 各 个 行业 有 所 区 分 的 实际 情况 。 

(4) BS7799 提供 了 具体 的 实施 细则 , 却 没有 提供 标准 的 实施 方法 ,增加 了 风险 评估 实 
施 的 困难 。 

作为 一 个 管理 标准 ,BS7799 虽然 涵盖 了 安全 管理 的 各 个 方面 ,但 它 还 具有 不 可 避免 的 
缺点 ,所 以 针对 它 所 设计 的 风险 评估 工具 必然 同 其 他 基于 技术 标准 的 工具 设计 在 设计 方案 、 
实现 手段 等 方面 有 很 大 的 不 同 。 


5.2.2 SSE-CMM 的 信息 安全 管理 体系 
1. 基于 能 力 成 熟 模型 的 开发 思想 


过 去 人 们 在 开发 安全 产品 过 程 中 往往 只 重视 产品 本 身 的 标准 化 问题 ,但 却 忽视 了 开发 
过 程 本 身 的 标准 化 。 如 何 提高 开发 过 程 的 能 力 , 如 何 使 过 程 本 身 标 准 化 、 规 范 化 应 该 引起 人 
们 的 足够 重视 。 目 前 大 部 分 产品 开发 采取 的 组 织 形式 是 矩阵 式 的 管理 模式 , 即 平时 按 一 般 
组 织 形 式 管理 ,一 旦 有 项 目 就 由 组 织 各 部 门人 员 组 成 项 目 小 组 。 项 目的 成 败 是 由 小 组 成 员 
的 能 力 决 定 的 ,这 是 一 种 基于 个 人 能 力 的 组 织 管理 模式 。 这 种 管理 模式 的 不 足 之 处 在 于 ,一 
且 项 目 组 的 主要 成 员 中 途 离开 就 可 能 会 造成 整个 项 目 拖延 甚至 使 项 目 停止 运作 。 整 个 项 目 
的 运行 过 程 对 于 开发 商 来 说 近乎 是 黑箱 运作 。 当 这 个 项 目 成 功 后 ,开发 商 难 以 让 其 他 成 员 
共享 他 们 的 经 验 ,因为 开发 过 程 主要 靠 人 的 思维 活动 ,而 人 的 思维 是 不 断 变化 的 ,即使 同一 
个 人 两 次 开发 同一 个 项 目 也 会 有 所 不 同 。 为 了 改变 这 种 状况 ,一 个 不 同 于 以 往 的 概念 逐渐 
被 接受 , 即 一 个 单位 的 开发 和 生产 能 力 取决 于 该 单位 的 过 程 能 力 。 这 种 过 程 能 力 是 整体 的 
能 力 而 不 是 个 人 的 能 力 。 要 建立 一 个 规范 的 过 程 并 通过 政策 保证 过 程 的 执行 ,从 而 使 项 目 
的 执行 不 再 是 一 个 黑箱 子 ,项 目 管理 者 可 以 清楚 地 知道 项 目 是 按 规定 的 过 程 进行 的 。 其 中 


物 联 网 安全 教程 


所 设 定 的 过 程 可 能 有 缺陷 ,但 存在 的 问题 可 以 在 执行 的 过 程 中 反映 出 来 ,在 该 过 程 执行 一 段 
时 间 后 ,可 根据 反映 的 问题 来 不 断 完善 这 个 过 程 。 周 而 复 始 就 能 使 这 个 过 程 逐 渐 完善 和 成 
熟 。 伴 随 着 过 程 的 成 熟 , 开 发 商 的 能 力也 不 断 成 熟 。 


2. SSE-CMM 模型 的 提出 


1993 年 4 月 ,美国 国家 安全 局 (NSA) 提 出 了 一 个 专门 应 用 于 系统 安全 工程 的 能 力 成 熟 
模型 的 构想 , 即 系 统 安全 工程 能 力 成 熟 模 型 (Systems Security Engineering Capability 
Maturity Model,SSE-CMM) 。 在 美国 国家 安全 局 美国 国 防 部 、 加 拿 大 通信 和 安全 局 的 号 召 
和 推动 下 ,汇聚 了 60 多 个 厂家 ,集中 了 大 量 的 人 力 、 物 力 和 财力 对 该 构想 进行 了 开发 实施 ， 
并 于 1996 年 10 月 出 版 了 SSE-CMM 模型 的 第 一 个 版 本 。 第 一 个 版 本 发 布 后 ,标准 制定 者 
随即 选择 了 5 家 公司 对 该 模型 进行 了 长 达 一 年 的 试用 ,并 根据 试用 中 积累 的 经 验 和 教训 对 
模型 进行 了 几 次 更 新 ,并 于 1997 年 4 月 出 版 了 评定 方法 的 第 一 个 版 本 ,1999 年 4 月 发 布 了 
SSE-CMM 的 2.0 版 本 。 目 前 ,该 模型 已 经 提交 国际 标准 化 组 织 申 请 作为 国际 标准 。 


3. SSE-CMM 的 基本 思想 


SSE-CMM 的 基本 思想 是 建立 和 完善 一 套 成 熟 的 、 可 度量 的 安全 工程 过 程 。 该 模型 定 
义 了 一 个 安全 工程 过 程 应 有 的 特征 ,这 些 特征 是 完善 安全 工程 的 根本 保证 。 这 个 安全 工程 
对 于 任何 工程 活动 均 是 清晰 定义 的 、 可 管理 的 、 可 测量 的 ,可 控制 的 ,并 且 是 有 效 的 。SSE- 
CMM 模型 及 其 评定 方法 汇集 了 业界 范围 内 常见 的 实施 方法 ,提供 了 一 套 包括 政府 及 产业 
的 标准 度量 体系 ,确保 了 在 处 理 硬件 软件、 系统 和 组 织 安 全 问题 的 工程 实施 活动 后 ,能够 得 
到 一 个 完整 意义 上 的 安全 结果 。 在 以 下 安全 活动 过 程 中 ,SSE-CMM 已 成 为 公认 的 标准 规 
范 。 这 些 活动 包括 : 整个 工程 的 生命 周期 过 程 ,包括 开发 .运行 、 维 护 和 结束 ; 整个 组 织 过 
程 ,包括 各 种 管理 组织 和 工程 活动 ; 与 其 他 工程 规范 和 标准 的 交流 ,包括 其 他 系统 、 软 件 、 
硬件 、 人 的 因素 和 检测 工程 规范 等 ; 与 其 他 组 织 的 交流 活动 ,包括 信息 获取 、 系 统管 理 、 认 
证 ,授权 和 评价 等 活动 。 此 外 ,SSE-CMM 还 用 于 改进 安全 工程 实施 的 现状 ,达到 提高 安全 
系统 、 安 全 产品 和 安全 工程 服务 的 质量 和 可 用 性 并 降低 成 本 的 目的 。 


4. SSE-CMM 中 包含 的 过 程 域 


为 了 将 安全 工程 思想 变 为 一 种 有 效 的 工程 规范 ,在 SSE-CMM 模型 中 定义 了 22 个 安全 
方面 的 过 程 域 (Process Areas,PA), 并 将 每 个 过 程 域 按 其 能 力 由 低 到 高 分 为 0~5 这 6 个 级 
别 。 在 每 个 过 程 域 中 提出 了 要 控制 和 达到 的 目标 。 为 了 实现 这 些 目 标 ,在 每 个 过 程 域 中 又 
包括 许多 具体 的 基本 实施 (Basic Practice, BP)。 这 些 基 本 实施 规范 了 工作 流程 ,是 保证 过 
程 目标 有 效 控制 的 重要 手段 。 按 照 解 决 问题 的 不 同 ,过 程 域 可 以 分 为 三 类 : 一 类 是 工程 过 
程 域 (PA) ,包括 11 个 过 程 ; 男 一 类 是 项 目 过 程 域 (PA) ,包括 5 个 过 程 ; 还 有 一 类 是 组 织 过 
程 域 (PA), 包 括 6 个 过 程 。 在 项 目 过 程 域 中 包括 5 个 过 程 ,分 别 为 PA12 一 质量 保证 ， 
PA13 一 配置 管理 ,PA14 一 项 目 风 险 管理 ,PA15 一 技术 成 果 的 监控 ,PA16 一 技术 成 果 的 计 
划 。 在 组 织 过 程 域 中 包括 6 个 过 程 ,分 别 为 PA17 一 定义 与 组 织 系统 工程 过 程 ,PA18 一 提高 
组 织 系 统 工程 过 程 ,PA19 一 产品 线 进展 管理 ,PA20 一 系统 安全 工程 支持 环境 管理 ,PA21 一 
提供 在 研 的 技术 和 知识 ,PA22 一 与 供应 商 协调 。 这 两 类 过 程 域 虽然 并 不 直接 同系 统 安全 相 
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关 , 但 它们 通过 和 安全 过 程 域 的 协调 来 保证 安全 工程 的 实施 。 
5. SSE-CMM 的 系统 安全 工程 


在 工程 进行 中 可 以 根据 不 同 的 目标 确定 采用 不 同 的 过 程 域 ,通过 提高 过 程 的 能 力 来 保 
证 系统 .产品 或 服务 的 安全 性 。SSE-CMM 将 系统 安全 工程 分 为 三 类 ,它们 是 风险 过 程 、 安 
全 过 程 和 信任 度 过 程 。 其 中 ,风险 过 程 是 指 对 要 实施 安全 工程 的 系统 进行 风险 分 析 ,分析 各 
种 可 能 对 系统 构成 威胁 的 影响 因素 .系统 本 身 的 脆弱 性 以 及 如 果 威 胁 因素 起 作用 可 能 对 系 
统 造成 的 影响 。 工 程 过 程 是 指 工程 队伍 根据 风险 分 析 的 结果 有 关系 统 需求 .可 应 用 的 法 律 
法 规 和 方针 政策 等 信息 , 同 客户 一 起 识别 和 定义 系统 的 安全 需要 ,在 综合 考虑 包括 成 本 、 性 
能 ,技术 风险 和 使 用 难 易 程度 等 各 种 因素 和 各 种 替代 方案 之 后 创建 出 解决 方案 ,然后 用 该 方 
案 指 导 安全 系统 的 开发 和 建设 ,并 对 系统 进行 不 间断 的 监测 ,以 保证 风险 不 至 于 增 大 到 不 能 
接受 的 程度 。 信 任 度 过 程 是 对 安全 工程 过 程 和 质量 结果 进行 测试 和 验证 ,从 而 得 出 系统 安 
全 是 否 可 信 。 伴 随 着 这 三 个 过 程 的 不 断 执行 ,工程 队伍 的 过 程 能 力也 不 断 成 熟 。 


6. SSE-CMM 的 过 程 能 力 水 平 


过 程 能 力 是 由 一 组 通用 实施 (GP) 来 衡量 ,通用 实施 是 对 所 有 工程 过 程 都 通用 的 工程 实 
践 。 按 照 工程 队伍 对 通用 实施 的 执行 情况 ,可 以 将 每 个 过 程 域 按 能 力 的 高 低 分 成 6 个 级 别 ， 
即 从 第 0 级 到 第 5 级 。 其 中 : 

第 0 级 能 力 水 平 指 非 执 行 能 力 级 。 非 执行 能 力 级 的 过 程 没 有 共同 特征 (CF) 和 通用 实 
践 (GP) ,在 开发 过 程 中 没有 安全 工程 思想 的 应 用 。 在 这 一 级 的 过 程 水 平 中 也 能 够 完成 一 些 
工作 ,但 是 当 工 程 队伍 中 的 关键 人 物 不 在 或 者 当 工程 本 身 变 得 越 来 越 复杂 时 ,就 难以 保证 任 
务 的 完成 。 

第 1 级 能 力 水 平 指 非 正常 执行 的 能 力 水 平 。 所 有 的 基本 实施 在 一 定 程度 上 都 能 被 执 
行 ,因而 对 过 程 能 力 缺 少 连续 的 计划 和 跟踪 。 过 程 的 完善 能 力 仍然 取决 于 个 人 的 知识 和 努 
力 程度 。 产 品质 量 和 生产 效率 由 工程 队伍 的 所 有 人 员 的 出 色 工 作 来 保证 。 过 程 的 执行 还 主 
要 靠 经 验 , 对 执行 结果 无 明确 要 求 ,所 以 执行 活动 的 能 力 是 不 可 重复 和 被 其 他 过 程 所 借 
鉴 的 。 

第 2 级 能 力 水 平 是 指 具有 计划 与 跟踪 的 能 力 水 平 。 组 织 的 过 程 能 力 取决 于 安全 工程 基 
本 实施 的 效率 ,因此 与 基本 实施 有 关 的 工作 过 程 可 以 被 总 结 和 控制 。 它 与 1 级 能 力 水 平 不 
同 之 处 在 于 此 过 程 中 的 基本 实施 是 可 以 重复 和 被 其 他 组 织 借鉴 的 。 

第 3 级 能 力 水 平 是 指 完好 定义 的 能 力 级 水 平 。 过 程 中 的 所 有 基本 实施 应 按照 完善 定义 
的 规范 来 进行 ,这 些 规范 是 工程 队伍 根据 长 期 经 验 而 总 结 出 来 的 。 它 与 2 级 能 力 水 平 不 同 
之 处 在 于 定义 了 一 个 被 接受 的 标准 规范 ,基本 的 实施 可 以 反映 出 过 程 的 特征 ,过 程 的 能 力 可 
以 直接 转 到 其 他 工程 活动 中 。 

第 4 级 能 力 水 平 是 定量 控制 级 水 平 。 对 每 个 已 定义 的 过 程 和 相 联 系 的 工作 都 设 定 出 可 
度量 的 过 程 目标 ,可 以 对 工程 队伍 和 工程 的 进展 进行 定量 的 预测 和 控制 。 

第 5 级 能 力 水 平 是 持续 完善 的 能 力 水 平 。 从 过 程 能 力 的 角度 看 , 它 是 最 高 水 平 , 在 此 水 
平 下 已 经 建立 了 对 过 程 效 率 的 定性 和 定量 的 目标 ,而 且 可 以 准确 度量 过 程 持续 改善 所 获得 
的 效益 。 
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具体 实施 安全 工程 的 工程 队伍 的 能 力 直接 影响 安全 工程 本 身 的 质量 和 安全 可 靠 程度 。 
SSE-CMM 模型 通过 以 上 的 “过 程 能 力 ” 指 标 对 工程 队伍 的 能 力 进行 评估 。“ 过 程 能 力 ” 是 通 
过 执行 工程 过 程 所 得 质量 结果 的 变化 范围 。 所 得 结果 的 质量 变化 范围 越 小 ,表明 执行 该 过 
程 的 队伍 越 “ 成 熟 "; 反之 亦 然 。 一 个 工程 队伍 既 可 以 通过 该 模型 自我 评估 能 力 级 别 ,也 可 
以 通过 第 三 方 来 实施 评定 。 

通过 以 上 介绍 可 以 看 出 ,SSE-CAN 模型 是 目前 针对 信息 系统 安全 问题 而 提供 的 具有 
较 高 可 靠 性 的 解决 方法 。 它 既 可 用 于 对 一 个 安全 系统 或 安全 产品 的 信任 度 测量 和 改善 ,也 
可 用 于 对 一 个 工程 队伍 的 能 力 进 行 评定 或 自我 改善 ,提高 系统 安全 工程 队伍 自身 的 能 力 ,从 
而 最 大 限度 地 保证 系统 的 相对 安全 性 。 


7. SSE-CMM 模型 的 应 用 前 景 


目前 ,SSE-CMM 已 经 成 为 西方 发 达 国家 政府 .军队 和 要 害 部 门 组 织 和 实施 系统 安全 工 
程 的 通用 方法 ,是 系统 安全 工程 领域 里 的 成 熟 方法 体系 ,在 理论 研究 和 具体 实践 中 具有 举 足 
轻重 的 作用 。SSE-CMM 已 经 被 信息 技术 安全 评估 国际 标准 的 公共 准则 CC 看 成 是 最 有 和 希 
望 采用 的 替代 安全 技术 。 模 型 应 用 可 以 在 提高 过 程 能 力 的 同时 有 效 地 降低 成 本 ,从 而 在 开 
发 方法 上 保证 信息 系统 的 安全 。 

在 国内 SSE-CMM 的 研究 与 实施 工作 正 处 于 起 步 阶段 ,国家 及 军队 信息 安全 测评 认证 
中 心 已 经 将 系统 安全 工程 能 力 需求 模型 作为 我 国安 全 产品 和 信息 系统 安全 性 检测 与 认证 的 
标准 之 一 ,目前 已 经 发 布 了 标准 草案 ,少数 部 门 的 信息 系统 正在 实施 基于 该 标准 的 系统 安全 
工程 。 其 中 SSE-CMM 在 中 国 工程 技术 信息 网 中 得 到 了 成 功 应 用 。 由 于 SSE-CMM 模型 
本 身 并 不 是 安全 技术 模型 , 它 给 的 是 信息 系统 安全 工程 需要 考虑 的 关键 过 程 域 ,这 些 过 程 域 
可 指导 信息 系统 安全 工程 从 单一 的 安全 设备 安装 转向 系统 地 解决 安全 工程 的 管理 ,组 织 \ 设 
计 、 实 施 和 验证 等 问题 。 但 在 具体 应 用 方面 ,该 模型 缺乏 工程 化 ,可 操作 性 差 ,尤其 在 我 国 对 
于 信息 系统 安全 工程 的 研究 并 不 是 很 成 熟 , 而 信息 系统 安全 工程 又 具有 重要 的 现实 意义 、 特 
殊 性 和 迫切 性 。 

随 着 我 国 国防 、 政 府 企业、 社会 信息 化 程度 的 急剧 提高 ,信息 系统 安全 问题 对 我 们 的 挑 
战 将 越 来 越 严 峻 ,对 SSE-CMM 做 分 析 与 评价 ,并 结合 我 国 实际 情况 进行 改进 和 完善 ,对 其 
进行 工程 化 、 实 用 化 研究 ,对 指导 我 国信 息 系 统 安全 工程 的 发 展 具有 十 分 重要 的 意义 。 因 此 
对 于 SSE-CMM 模型 的 开发 和 应 用 在 我 国有 着 广阔 的 发 展 前 景 。 


G.3 信息 安全 等 级 标准 
本 节 将 介绍 信息 安全 等 级 标准 。 
5.3.1 信息 安全 等 级 保护 标准 概述 


1. 我 国信 息 安 全 等 级 保护 


完善 的 信息 安全 政策 和 良好 的 策略 是 搞 好 国家 信息 安全 保护 工作 的 关键 ,而 信息 安全 
保护 政策 和 策略 必须 依赖 于 对 信息 安全 问题 的 正确 认识 和 信息 安全 保护 抉择 的 正确 取向 。 


但 在 国家 出 台 有 关 安 全 标准 之 前 ,国家 对 信息 安全 状况 很 难 有 效 把 握 ; 信息 系统 主管 、 建 
设 、 使 用 者 对 如 何 搞 好 信息 系统 安全 建设 和 管理 ,信息 系统 安全 究竟 存在 什么 问题 ,如 何 改 
进 、 需 要 多 少 投资 等 ,心中 无 数 ; 科研 单位 和 企业 对 开发 生产 什么 样 的 安全 产品 心中 无 数 ; 
信息 安全 专家 对 安全 产品 审查 提出 评审 结果 意见 ; 信息 安全 职能 部 门 对 如 何 进行 有 效 监 
督 .检查 评估 、 服 务 指导 ,如 何 处 罚 违规 者 等 也 是 心中 无 数 。 进 而 导致 国家 信息 安全 科学 技 
术 水 平和 整体 信息 安全 保护 能 力 很 难 提高 ,国家 信息 安全 只 好 看 国外 ,依赖 国外 , 受 国 外 思 
潮 主 导 。 对 这 些 问题 认识 不 足 ,不 尽快 采取 有 效 的 解决 办 法 ,势必 影响 信息 化 建设 ,经 济 发 
展 、 社 会 稳定 ,国防 建设 .国家 安全 。 

为 此 ,国家 高 度 重视 信息 安全 保护 工作 。 经 党 中 央 和 国务 院 批准 ,国家 信息 化 领导 小 组 
决定 加 强 信息 安全 保障 工作 ,实行 信息 安全 等 级 保护 ,重点 保护 基础 信息 网 络 和 重要 信息 系 
统 安全 ,要 抓紧 安全 等 级 保护 制度 建设 。 这 一 重大 决定 明确 落实 了 《中 华人 民 共 和 国 计 算 机 
信息 系统 安全 保护 条 例 }》 中 关于 实行 信息 安全 等 级 保护 制度 的 有 关 规 定 ,提出 了 从 整体 上 、 
根本 上 解决 国家 信息 安全 问题 的 办 法 ,进一步 确定 了 信息 安全 发 展 主线 、 中 心 任务 ,提出 了 
总 要 求 。 对 信息 系统 实行 等 级 保护 是 国家 法 定制 度 和 基本 国策 ,是 开展 信息 安全 保护 工作 
的 有 效 办 法 ,是 信息 安全 保护 工作 的 发 展 方向 。 实 行 信 息 安全 等 级 保护 的 决定 具有 重大 的 
现实 和 战略 意义 。 

国家 实行 信息 安全 等 级 保护 制度 ,有 利于 建立 长 效 机 制 ,保证 安全 保护 工作 稳固 、 持 久 
地 进行 下 去 ; 有 利于 在 信息 化 建设 过 程 中 同步 建设 信息 安全 设施 ,保障 信息 安全 与 信息 化 
建设 相 协调 ; 有 利于 突出 重点 ,加 强 对 涉及 国家 安全 、 经 济 命脉 ,社会 稳定 的 基础 信息 网 络 
和 重要 信息 系统 的 安全 保护 和 管理 监督 有 利于 明确 国家 企业 、 个 人 的 安全 责任 ,强化 政 
府 监 管 职能 ,共同 落实 各 项 安全 建设 和 安全 管理 措施 ; 有 利于 提高 安全 保护 的 科学 性 、 针 对 
性 ,推动 网 络 安全 服务 机 制 的 建立 和 完善 ; 有 利于 采取 系统 规范、 经济 有 效 、 科 学 的 管理 和 
技术 保障 措施 ,提高 整体 安全 保护 水 平 ,保障 信息 系统 安全 正常 运行 ,保障 信息 安全 ,进而 保 
障 各 行业 、 部 门 和 单位 的 职能 与 业务 安全 高速、 高 效 地 运转 。 


2. 典型 安全 标准 比较 


国际 上 信息 评估 标准 经 历 了 TCSEC ITSEC CTCPEC、CC 和 ISO 15408 这 5 个 发 展 
阶段 ,这 几 个 标准 侧重 于 对 系统 和 产品 的 技术 指标 方面 .不同 于 偏重 安全 管理 方面 的 ISO/IEC 
27001: 2005《 信 息 安 全 管理 体系 规范 ) 等 标准 。 最 初 的 TCSEC 是 针对 孤立 计算 机 系统 提出 
的 ,该 标准 适用 于 军队 ,开始 时 应 用 在 OS 的 评估 上 ,TCSEC 与 ITSEC 均 不 涉及 开放 系统 
的 安全 标准 , 仅 针对 产品 的 安全 保证 要 求 划 分 等 级 并 进行 评测 ,并 均 为 静态 模型 , 仅 能 反映 
静态 安全 状况 。CPCPEC 虽 在 两 者 的 基础 上 有 了 一 定 的 发 展 , 但 也 未 能 突破 上 述 的 局 限 
性 。FC 对 TCSEC 做 了 补充 和 修改 ,但 因 其 自身 的 缺陷 一 直 没有 正式 投入 使 用 。CC 与 早 
期 的 评估 标准 相 比 ,其 优势 体现 在 其 结构 的 开放 性 、 表 达 方 式 的 通用 性 以 及 结构 和 表达 方式 
的 内 在 完备 性 和 实用 性 等 方面 。 总 体 来 说 ,各 标准 适用 范围 略 有 不 同 ,各 有 优 劣 。 

我 国 的 信息 安全 保护 标准 体系 是 2001 年 由 中 国信 息 安 全 产品 测评 认证 中 心 牵头 ,将 
ISO/IEC 15408 转化 为 国家 标准 一 一 GB/T 18336 一 2001《 信 息 技 术 安 全 性 评估 准则 》, 后 又 
经 国家 公安 部 联合 多 个 部 委 不 断 完 善 而 形成 的 。 标 准 体系 的 基本 思想 概括 为 : 以 信息 安全 
的 5 个 属性 为 基本 内 容 , 从 实现 信息 安全 的 5 个 层面 ,按照 信息 安全 5 个 等 级 的 不 同 要求 ， 
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分 别 对 安全 信息 系统 的 构建 过 程 、 测 评 过 程 和 运行 过 程 进行 控制 和 管理 ,实现 对 不 同 信息 类 
别 按 不 同 要 求 进行 分 等 级 安全 保护 的 总 体 目标 。 

CC( 即 中 国 国 内 GB/T 18336: 2001 和 国际 ISO/IEC 15408: 1999) 和 ISOVIEC 27001: 
2005《 信 息 安 全 管理 体系 规范 ) 标 准 的 共同 点 表现 在 以 下 4 个 方面 : 几 个 标准 所 涉及 的 范围 
从 大 的 角度 来 说 都 是 信息 安全 领域 ; 几 个 标准 对 信息 安全 的 定义 相同 ,都 是 指 对 信息 保密 
性 、 完 整 性 和 可 用 性 的 保护 ; 几 个 标准 对 信息 安全 风险 的 定义 基本 相同 ,都 是 从 资产 .威胁 、 
薄弱 点 和 影响 来 考察 风险 ; 几 个 标准 都 针对 不 同 的 风险 提出 了 相应 的 控制 目标 和 控制 措 
施 。 几 个 标准 之 间 最 主要 的 区 别 在 于 着 眼 点 的 不 同 。 

CC 侧重 于 对 系统 和 产品 的 技术 指标 , 旨 在 支持 产品 (最 终 是 指 已 经 在 系统 中 安装 了 的 
产品 ,虽然 目前 指 的 是 一 般 产 品 ) 中 IT 安全 特征 的 技术 性 评估 。ISOVIEC 15408 标准 还 有 
一 个 重要 作用 , 即 它 可 以 用 于 描述 用 户 对 安全 性 的 技术 需求 。ISO/IEC 27001: 2005 则 偏 
重 于 安全 管理 方面 的 要 求 。 它 不 是 一 篇 技术 标准 ,而 是 管理 标准 。 它 处 理 的 是 对 IT 系统 
中 非 技术 内 容 的 检查 ,这 些 内 容 与 人 员 ,流程 ,物理 安全 以 及 一 般 意义 上 的 安全 管理 有 关 。 
ISO/IEC 17799 的 目的 是 “为 信息 安全 管理 提供 建议 , 供 那 些 在 其 机 构 中 负 有 安全 责任 的 人 
使 用 。 它 旨 在 为 一 个 机 构 提 供用 来 制定 安全 标准 、 实 施 有 效 的 安全 管理 时 的 通用 要 素 ,并 得 
以 使 跨 机 构 的 交易 得 到 互信 ”。 

CC 中 虽 对 信息 安全 管理 方面 提出 了 一 定 的 要 求 ,但 这 些 管 理 要 求 是 孤立 、 相 对 静止 、 
不 成 体系 的 。 同 样 ,ISO/IEC 27001: 2005 也 涉及 极 小 部 分 的 技术 指标 ,但 仅 限 于 管理 上 必 
需 的 技术 指标 。 因 此 在 这 一 方面 两 个 标准 对 其 重点 强调 部 分 可 互相 补充 和 借鉴 ,例如 在 按 
照 BS7799 建立 体系 的 时 候 , 可 以 制定 组 织 的 信息 产品 和 系统 的 采购 策略 ,要 求 采购 通过 
CC 认证 的 产品 。 


3. 信息 安全 等 级 保护 总 体 介绍 


1) 等 级 保护 相关 文件 组 成 

公安 部 、 国 家 保密 局 .国家 密码 管理 局 、 国 务 院 信息 化 工作 办 公 室 制定 的 《信息 安全 等 级 
保护 管理 办 法 ) 由 一 系列 标准 文件 组 成 : 《信息 安 全 等 级 保护 管理 办 法 ) 公 通 字 [2007] 
43 号 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17859 一 1999) 《信息 安全 等 级 保护 实 
施 指南 》《 信 息 安 全 等 级 保护 定 级 指南 》《 信 息 安全 等 级 保护 基本 要 求 )《 信 息 安 全 等 级 保 
护 测评 准则 》《 信 息 安全 技术 网 络 基 础 安全 技术 要 求 )(GB/T 20270 一 2006)《 信 息 安 全 技 
术 信 息 系 统 通 用 安全 技术 要 求 )GB/T 20271 一 2006) 《信息 安全 技术 操作 系统 安全 技术 要 
求 )XGB/T 20272 一 2006) 和 《信息 安全 技术 数据 库 管理 系统 安全 技术 要 求 )GB/T 20273 一 
2006) 。 

2) 等 级 保护 文件 之 间 的 关系 

从 标准 间 的 关系 上 讲 ,( 信 息 系统 安全 等 级 保护 定 级 指南 》 确 定 出 系统 等 级 以 及 业务 信 
息 安全 性 等 级 和 系统 服务 安全 等 级 后 ,需要 按照 相应 等 级 ,根据 (信息 安全 等 级 保护 基本 要 
求 ) 选 择 相 应 等 级 的 安全 保护 要 求 进行 系统 建设 实施 。 《信息 系 统 安全 等 级 保护 测评 准则 》 
是 针对 《信息 安全 等 级 保护 基本 要 求 ) 的 具体 控制 要 求 开 发 的 测评 要 求 , 旨 在 强调 系统 按 昭 
《信息 安全 等 级 保护 基本 要 求 ) 进 行 建设 完毕 后 ,检验 系统 的 各 项 保护 要 求 是 否 符合 相应 等 
级 的 基本 要 求 。 
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由 上 可 见 ,《 信 息 安全 等 级 保护 基本 要 求 ) 在 整个 标准 体系 中 起 着 承上启下 的 作用 。 相 
关 技 术 要 求 可 以 作为 (信息 安全 等 级 保护 基本 要 求 》 和 (信息 安全 等 级 保护 测评 准则 ) 的 补充 
和 详细 指导 标准 。 


5.3.2 信息 安全 等 级 保护 基本 要 求 
1. 总 体 介绍 


《信息 安全 等 级 保护 管理 办 法 ) 中 ,《 等 级 保护 的 实施 与 管理 ) 第 十 二 条 明确 指出 ,在 信息 
系统 建设 过 程 中 ,运营 、 使 用 单位 应 当 按照 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》 
(GB 17859 一 1999) 《信息 系统 安全 等 级 保护 基本 要 求 ) 等 技术 标准 。 

《信息 系统 安全 等 级 保护 基本 要 求 ) 是 系统 安全 保护 ,等 级 测评 的 一 个 基本 “标尺 ”, 同 样 
级 别 的 系统 使 用 统一 的 “标尺 "来 衡量 ,保证 权威 性 ,是 一 个 达标 线 ; 每 个 级 别 的 信息 系统 按 
照 基本 要 求 进行 保护 后 ,信息 系统 具有 相应 等 级 的 基本 安全 保护 能 力 , 达 到 一 种 基本 的 安全 
状态 ; 是 每 个 级 别 信 息 系 统 进行 安全 保护 工作 的 一 个 基本 出 发 点 ,更 加 贴切 的 保护 可 以 通 
过 需求 分 析 对 基本 要 求 进行 补充 ,参考 其 他 有 关 等 级 保护 或 安全 方面 的 标准 来 实现 。 不 同 
级 别 的 信息 系统 应 具备 相应 等 级 的 安全 保护 能 力 , 即 应 该 具备 不 同 的 对 抗 能 力 和 恢复 能 力 ， 
以 对 抗 不 同 的 威胁 和 能 够 在 不 同 的 时 间 内 恢复 系统 原 有 的 状态 。 针 对 各 等 级 系统 应 当 对 抗 
的 安全 威胁 和 应 具有 的 恢复 能 力 ,人 基本 要 求 ) 提 出 各 等 级 的 基本 安全 要 求 。 基 本 安全 要 求 
包括 了 基本 技术 要 求 和 基本 管理 要 求 , 基 本 技术 要 求 主要 用 于 对 抗 威胁 和 实现 技术 能 力 , 基 
本 管理 要 求 主要 为 安全 技术 实现 提供 组 织 、 人 员 ,程序 等 方面 的 保障 。 各 等 级 的 基本 安全 要 
求 由 包括 物理 安全 、 网 络 安全 ,主机 系统 安全 ,应 用 安全 和 数据 安全 5 个 层面 的 基本 安全 技 
术 措 施 和 包括 安全 管理 机 构 ,安全 管理 制度 、 人 员 安 全 管理 、 系 统 建设 管理 和 系统 运 维 管理 
5 个 方面 的 基本 安全 管理 措施 来 实现 和 保证 。 


2. 等 级 保护 基本 要 求 的 框架 结构 


1) 等 级 划分 

等 级 保护 共 划 分 为 5 个 级 别 ,当前 主要 使 用 1 一 4 级 。 不 同等 级 的 信息 系统 应 具备 不 同 
的 基本 安全 保护 能 力 , 其 能 力 要 求 是 逐 级 递增 的 。 

第 一 级 安全 保护 能 力 : 应 能 够 防护 系统 免 受 来 自 个 人 的 、 拥 有 很 少 资源 的 威胁 源 发 起 
的 恶意 攻击 一般 的 自然 灾难 ,以 及 其 他 危害 程度 相当 大 的 威胁 所 造成 的 关键 资源 损害 ,在 
系统 遭 到 损害 后 ,能 够 恢复 部 分 功能 。 

第 二 级 安全 保护 能 力 : 应 能 够 防护 系统 免 受 来 自 外 部 小 型 组 织 的 ,拥有 少量 资源 的 威 
胁 源 发 起 的 恶意 攻击 一般 的 自然 灾难 ,以 及 其 他 危害 程度 相当 大 的 威胁 所 造成 的 重要 资源 
损害 ,能够 发 现 重要 的 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 够 在 一 段 时 间 内 恢复 部 
分 功能 。 

第 三 级 安全 保护 能 力 : 应 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 外 部 有 组 织 的 团 
体 、 拥 有 较为 丰富 资源 的 威胁 源 发 起 的 恶意 攻击 、 较 为 严重 的 自然 灾难 ,以 及 其 他 危害 程度 
相当 大 的 威胁 所 造成 的 主要 资源 损害 ,能 够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ， 
能 够 较 快 恢复 绝 大 部 分 功能 。 
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第 四 级 安全 保护 能 力 : 应 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 国家 级 别 的 、 敌 对 
组 织 的 ,拥有 丰富 资源 的 威胁 源 发 起 的 恶意 攻击 、 严 重 的 自然 灾难 ,以 及 其 他 危害 程度 相当 
大 的 威胁 所 造成 的 资源 损害 ,能 够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 够 迅速 
恢复 所 有 功能 。 

第 五 级 安全 保护 能 力 : 访问 验证 保护 级 ,具备 第 四 级 的 所 有 功能 ,还 具有 仲裁 访问 者 能 
否 访 问 某 些 对 象 的 能 力 。 为 此 ,本 级 的 安全 保护 机 制 不 能 被 攻击 ,被 自 改 ,具有 极 强 的 抗 渗 
透 能 力 。 

2) 内 容 组 成 

等 级 保护 基本 要 求 的 内 容 分 为 技术 和 管理 两 大 部 分 ,其 中 技术 部 分 分 为 物理 安全 、 网 络 
安全 ,主机 安全 ,应 用 安全 和 数据 安全 及 备份 恢复 5 大 类 ,管理 部 分 分 为 安全 管理 制度 .安全 
管理 机 构 ` 人 员 安 全 管理 .系统 建设 管理 和 系统 运 维 管理 5 大 类 。 

具体 框架 结构 如 图 5-3 所 示 。 
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图 5-3 等 级 保护 体系 框架 图 


3. 安全 等 级 保护 分 级 思想 


信息 系统 的 安全 保护 能 力 包括 对 抗 能 力 和 恢复 能 力 。 不 同 级 别 的 信息 系统 应 具备 相应 
等 级 的 安全 保护 能 力 , 即 应 该 具备 不 同 的 对 抗 能 力 和 恢复 能 力 。 将 “能 力 " 分 级 是 基于 系统 
的 保护 对 象 不 同 ,其 重要 程度 也 不 相同 ,重要 程度 决定 了 系统 所 具有 的 能 力也 就 有 所 不 同 。 
一 般 来 说 ,信息 系统 越 重要 ,应 具有 的 保护 能 力 就 越 高 。 因 为 系统 越 重要 ,其 所 伴随 的 遭 到 
破坏 的 可 能 性 越 大 , 遭 到 破坏 后 的 后 果 越 严重 ,所 以 需要 提高 相应 的 安全 保护 能 力 。 可 以 通 
过 图 5-4 来 看 看 等 级 保护 的 思路 。 

不 同等 级 信息 系统 所 具有 的 保护 能 力 如 下 : 

一 级 安全 保护 能 力 : 应 能 够 防护 系统 免 受 来 自 个 人 的 、 拥 有 很 少 资源 (如 利用 公开 可 获 
取 的 工具 等 ) 的 威胁 源 发 起 的 恶意 攻击 一般 的 自然 灾难 (灾难 发 生 的 强度 弱 、 持 续 时 间 很 短 
等 ) ,以 及 其 他 危害 程度 相当 大 的 威胁 (无 意 失误 .技术 故障 等 ) 所 造成 的 关键 资源 损害 ,在 系 
统 遭 到 损害 后 ,能够 恢复 部 分 功能 。 

二 级 安全 保护 能 力 : 应 能 够 防护 系统 免 受 来 自 外 部 小 型 组 织 的 (如 自发 的 三 两 人 组 成 
的 黑客 组 织 ) .拥有 少量 资源 (如 个 别人 员 能 力 、 可 公开 获得 或 特定 开发 的 工具 等 ) 的 威胁 源 
发 起 的 恶意 攻击 一 般 的 自然 灾难 (灾难 发 生 的 强度 一 般 、 持 续 时 间 短 .覆盖 范围 小 等 ), 以 及 
其 他 危害 程度 相当 大 的 威胁 (无 意 失误 ,技术 故障 等 ) 所 造成 的 重要 资源 损害 ,能 够 发 现 重 要 
的 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能够 在 一 段 时 间 内 恢复 部 分 功能 。 
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具有 某 级 安全 保护 能 力 的 系统 


图 5-4 等 级 保护 思路 图 


三 级 安全 保护 能 力 : 应 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 外 部 有 组 织 的 团体 
(如 一 个 商业 情报 组 织 或 犯罪 组 织 等 ) .拥有 较为 丰富 资源 (包括 人 员 能 力 、 计 算 能 力 等 ) 的 威 
胁 源 发 起 的 恶意 攻击 、 较 为 严重 的 自然 灾难 (灾难 发 生 的 强度 较 大 ,持续 时 间 较 长 .种 盖 范 围 
较 广 等 ) ,以 及 其 他 危害 程度 相当 大 的 威胁 (内 部 人 员 的 恶意 威胁 ,无 意 失误 、 较 严重 的 技术 
故障 等 ) 所 造成 的 主要 资源 损害 ,能够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 够 较 
快 恢复 绝 大 部 分 功能 。 

四 级 安全 保护 能 力 : 应 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 国 家 级 别 的 、 敌 对 组 
织 的 ,拥有 丰富 资源 的 威胁 源 发 起 的 恶意 攻击 、 严 重 的 自然 灾难 (灾难 发 生 的 强度 大 持续 时 
间 长 ,覆盖 范围 广 等 ), 以 及 其 他 危害 程度 相当 大 的 威胁 (内 部 人 员 的 恶意 威胁 、 无 意 失 误 、 严 
重 的 技术 故障 等 ) 所 造成 的 资源 损害 ,能 够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 
够 迅速 恢复 所 有 功能 。 


4. 等 级 安全 保护 系统 特点 


不 同 级 别 的 信息 系统 ,其 应 该 具备 的 安全 保护 能 力 不 同 ,也 就 是 对 抗 能 力 和 恢复 能 力 不 
同 。 安 全 保护 能 力 不 同 意味 着 能 够 应 对 的 威胁 不 同 , 较 高 级 别 的 系统 应 该 能 够 应 对 更 多 的 
威胁 。 应 对 威胁 将 通过 技术 措施 和 管理 措施 来 实现 ,应 对 同一 个 威胁 可 以 有 不 同 强 度 和 数 
量 的 措施 , 较 高 级 别 的 系统 应 考虑 更 为 周密 的 应 对 措施 。 


5. 等 级 保护 技术 要 求 


1) 物理 安全 

物理 安全 主要 涉及 的 方面 包括 环境 安全 (防火 、 防 水 、 防 雷击 等 ) 设 备 和 防盗 穷 防 破坏 等 
方面 。 具 体 包 括 物理 位 置 的 选择 物理 访问 控制 、 防 窃 和 防 破坏 、 防 雷击 ` 防 火 、 防 水 和 防潮 、 
防 静 电 、 温 湿度 控制 .电力 供应 电磁 防护 共 10 个 控制 点 。 

一 级 物理 安全 要 求 : 主要 要 求 对 物理 环境 进行 基本 的 防护 ,对 出 人 进行 基本 控制 ,环境 
安全 能 够 对 自然 威胁 进行 基本 的 防护 ,电力 则 要 求 提 供 供电 电压 的 正常 。 

二 级 物理 安全 要 求 : 对 物理 安全 进行 了 进一步 的 防护 ,不 仅 对 出 入 进行 基本 的 控制 ,对 
进入 后 的 活动 也 要 进行 控制 。 物 理 环 境 方面 , 则 加 强 了 各 方面 的 防护 ,采取 更 细 的 要 求 来 多 


物 联 网 安全 教程 


方面 进行 防护 。 

三 级 物理 安全 要 求 : 对 出 和 人 加强 了 控制 ,做 到 人 、 电 子 设备 共同 监控 。 物 理 环境 方面 ， 
进一步 采取 各 种 控制 措施 来 进行 防护 。 如 防火 要 求 ,不 仅 要求 自 动 消防 系统 ,而 且 要 求 区 域 
隔离 防火 。 建 筑 材料 防火 等 方面 ,将 防火 的 范围 增 大 ,从 而 使 火灾 发 生 的 几率 和 损失 降低 。 

四 级 物理 安全 要 求 : 对 机 房 出 入 的 要 求 进一步 增强 ,要 求 多 道 电子 设备 监控 ; 物理 环 
境 方面 ,要 求 采用 一 定 的 防护 设备 进行 防护 ,如 静电 消除 装置 等 。 

2) 网 络 安全 

网 络 安全 主要 关注 的 方面 包括 网 络 结构 、 网 络 边界 以 及 网 络 设备 自身 安全 等 。 具 体 包 
括 结 构 安全 ,访问 控制 ,安全 审计 ,边界 完整 性 检查 、 入 侵 防范 、 恶 意 代 码 防范 和 网 络 设 备 防 
护 7 个 控制 点 。 

一 级 网 络 安全 要 求 : 主要 提供 网 络 安全 运行 的 基本 保障 ,包括 网 络 结构 能 够 基本 满足 
业务 运行 需要 ,网 络 边界 处 对 进出 的 数据 包头 进行 基本 过 滤 等 访问 控制 措施 。 

二 级 网 络 安全 要 求 : 不 仅 要 满足 网 络 安全 运行 的 基本 保障 ,同时 还 要 考虑 网 络 处 理 能 
力 要 满足 业务 极限 时 的 需要 。 对 网 络 边界 的 访问 控制 粒度 进一步 增强 。 同 时 ,加 强 了 网 络 
边界 的 防护 ,增加 了 安全 审计 、 边 界 完整 性 检查 ,入侵 防范 等 控制 点 。 对 网 络 设备 的 防护 不 
仅 局 限于 简单 的 身份 鉴别 ,同时 对 标识 和 鉴别 信息 都 有 了 相应 的 要 求 。 

三 级 网 络 安全 要 求 : 对 网 络 处 理 能 力 增加 了 “优先 级 ”考虑 ,保证 重要 主机 能 够 在 网 络 
拥堵 时 仍 能 够 正常 运行 。 网 络 边界 的 访问 控制 扩展 到 应 用 层 , 网 络 边界 的 其 他 防护 措施 进 
一 步 增强 ,不仅 能 够 被 动 地 * 防 ”, 还 应 能 够 主动 发 出 一 些 动作 ,如 报警 . 阻 断 等 。 网 络 设备 的 
防护 手段 要 求 两 种 身份 鉴别 技术 综合 使 用 。 

四 级 网 络 安全 要 求 : 对 网 络 边界 的 访问 控制 做 出 了 更 为 严格 的 要 求 ,禁止 远程 拨号 访 
问 ,不 允许 数据 带 通用 协议 通过 。 边 界 的 其 他 防护 措施 也 加 强 了 要 求 。 网 络 安全 审计 着 眼 
于 全 局 ,做 到 集中 审计 分 析 , 以 便 得 到 更 多 的 综合 信息 。 网 络 设备 的 防护 ,在 身份 鉴别 手段 
上 除了 要 求 两 种 技术 外 ,其 中 一 种 鉴别 技术 必须 是 不 可 伪造 的 ,进一步 加 强 了 对 网 络 设备 的 
防护 。 

3) 主机 系统 安全 

主机 系统 安全 是 包括 服务 器 终端 /工作 站 等 在 内 的 计算 机 设备 在 操作 系统 及 数据 库 系 
统 层 面 的 安全 。 终 端 /工作 站 是 带 外 设 的 台式 机 与 笔记 本 计算 机 ,服务 器 则 包括 应 用 程序 、 
网 络 `Web 文件 与 通信 等 服务 器 。 主 机 系统 是 构成 信息 系统 的 主要 部 分 ,其 上 承载 着 各 种 
应 用 。 因 此 ,主机 系统 安全 是 保护 信息 系统 安全 的 中 坚 力量 。 主 机 系统 安全 涉及 的 控制 点 
包括 身份 鉴别 、 安 全 标记 访问 控制 ,可 信和 路 径 、 安 全 审计 、 剩 余 信息 保护 、 入 侵 防范 、 恶 意 代 
码 防 范 和 资源 控制 共 9 个 。 

一 级 主机 系统 安全 要 求 : 对 主机 进行 基本 的 防护 ,要 求 主机 做 到 简单 的 身份 鉴别 , 粗 粒 
度 的 访问 控制 以 及 重要 主机 能 够 进行 恶意 代码 防范 。 

二 级 主机 系统 安全 要 求 : 在 控制 点 上 增加 了 安全 审计 和 资源 控制 等 。 同 时 ,对 身份 鉴 
别 和 访问 控制 都 进一步 加 强 ,鉴别 的 标识 、 信 息 等 都 提出 了 具体 的 要 求 。 访 问 控制 的 粒度 进 
行 了 细 化 等 ,恶意 代码 增加 了 统一 管理 等 。 

三 级 主机 系统 安全 要 求 : 在 控制 点 上 增加 了 剩余 信息 保护 , 即 访问 控制 增加 了 设置 敏 
感 标记 等 ,力度 变 强 。 同 样 ,身份 鉴别 的 力度 进一步 增强 ,要 求 两 种 以 上 鉴别 技术 同时 使 用 。 
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安全 审计 已 不 满足 于 对 安全 事件 的 记录 ,而 要 进行 分 析 、 生 成 报表 。 对 恶意 代码 的 防范 综合 
考虑 网 络 上 的 防范 措施 ,做 到 二 者 相互 补充 。 对 资源 控制 增加 了 对 服务 器 的 监视 和 最 小 服 
务 水 平 的 监测 和 报警 等 。 

四 级 主机 系统 安全 要 求 : 在 控制 点 上 增加 了 安全 标记 和 可 信和 路 径 ,其 他 控制 点 在 强度 
上 也 分 别 增强 ,如 身份 鉴别 要 求 使 用 不 可 伪造 的 鉴别 技术 ,访问 控制 要 求 部 分 按照 强制 访问 
控制 的 力度 实现 ,安全 审计 能 够 做 到 统一 集中 审计 等 。 

4) 应 用 安全 

通过 网 络 .主机 系统 的 安全 防护 ,最 终 应 用 安全 成 为 信息 系统 整体 防御 的 最 后 一 道 防 
线 。 在 应 用 层面 运行 着 信息 系统 的 基于 网 络 的 应 用 以 及 特定 业务 应 用 。 基 于 网 络 的 应 用 是 
形成 其 他 应 用 的 基础 ,包括 消息 发 送 、Web 浏览 等 ,可 以 说 是 基本 的 应 用 。 业 务 应 用 采纳 基 
本 应 用 的 功能 以 满足 特定 业务 的 要 求 , 如 电子 商务 .电子 政务 等 。 由 于 各 种 基本 应 用 最 终 是 
为 业务 应 用 服务 的 ,因此 对 应 用 系统 的 安全 保护 最 终 就 是 如 何 保护 系统 的 各 种 业务 应 用 程 
序 安全 运行 。 应 用 安全 主要 涉及 的 安全 控制 点 包括 身份 鉴别 .安全 标记 、 访 问 控制 .可 信 路 
径 、 安 全 审计 、 剩 余 信息 保护 .通信 完整 性 .通信 保密 性 、 抗 抵赖 .软件 容错 和 资源 控制 共 
球 枯 ， 

一 级 应 用 安全 要 求 : 对 应 用 进行 基本 的 防护 ,要求 做 到 简单 的 身份 鉴别 , 粗 粒度 的 访问 
控制 以 及 数据 有 效 性 检验 等 基本 防护 。 

二 级 应 用 安全 要 求 : 在 控制 点 上 增加 了 安全 审计 、 通 信保 密 性 和 资源 控制 等 。 同 时 ,对 
身份 鉴别 和 访问 控制 都 进一步 加 强 ,鉴别 的 标识 .信息 等 都 提出 了 具体 的 要 求 。 访 问 控制 的 
粒度 进行 了 细 化 ,对 通信 过 程 的 完整 性 保护 提出 了 特定 的 校 验 码 技术 。 应 用 软件 自身 的 安 
全 要 求 进一步 增强 ,软件 容错 能 力 增强 。 

三 级 应 用 安全 要 求 : 在 控制 点 上 增加 了 剩余 信息 保护 和 抗 抵赖 等 。 同 时 ,身份 鉴别 的 
力度 进一步 增强 ,要 求 组 合 鉴别 技术 ,访问 控制 增加 了 敏感 标记 功能 ,安全 审计 已 不 满足 于 
对 安全 事件 的 记录 ,而 要 进行 分 析 等 。 对 通信 过 程 的 完整 性 保护 提出 了 特定 的 密码 技术 。 
应 用 软件 自身 的 安全 要 求 进一步 增强 ,软件 容错 能 力 增强 ,增加 了 自动 保护 功能 。 

四 级 应 用 安全 要 求 : 在 控制 点 上 增加 了 安全 标记 和 可 信和 路 径 等 。 部 分 控制 点 在 强度 上 
进一步 增强 ,如 身份 鉴别 要 求 使 用 不 可 伪造 的 鉴别 技术 ,安全 审计 能 够 做 到 统一 安全 策略 ， 
提供 集中 审计 接口 等 ,软件 应 具有 自动 恢复 的 能 力 等 。 

5) 数据 安全 及 备份 恢复 

信息 系统 处 理 的 各 种 数据 (用 户 数 据 、 系 统 数 据 、 业 务 数据 等 ) 在 维持 系统 正常 运行 上 起 
着 至 关 重 要 的 作用 。 一 旦 数据 遭 到 破坏 (泄露 修改、 和 毁坏 ) ,都 会 在 不 同 程度 上 造成 影响 ,从 
而 危害 到 系统 的 正常 运行 。 由 于 信息 系统 的 各 个 层面 (网 络 、 主 机 ,应 用 等 ) 都 对 各 类 数据 进 
行 传输 、 存 储 和 处 理 等 ,因此 ,对 数据 的 保护 需要 物理 环境 、 网 络 ,数据库 和 操作 系统 .应 用 程 
序 等 提供 支持 。 各 个 “关口 "把 好 了 ,数据 本 身 再 具有 一 些 防御 和 修复 手段 ,必然 将 对 数据 造 
成 的 损害 降 至 最 小 。 另 外 ,数据 备份 也 是 防止 数据 被 破坏 后 无 法 恢复 的 重要 手段 ,而 硬件 备 
份 等 更 是 保证 系统 可 用 的 重要 内 容 ,在 高 级 别 的 信息 系统 中 采用 异地 适时 备份 会 有 效 地 防 
治 灾难 发 生 时 可 能 造成 的 系统 危害 。 保 证 数据 安全 和 备份 恢复 主要 从 数据 完整 性 .数据 保 
密 性 、 备 份 和 恢复 三 个 控制 点 考虑 。 

一 级 数据 安全 及 备份 恢复 要 求 : 用 户 数据 在 传输 过 程 提出 要 求 ,能 够 检测 出 数据 完整 
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性 受到 破坏 ,同时 能 够 对 重要 信息 进行 备份 。 

二 级 数据 及 备份 恢复 安全 要 求 : 对 数据 完整 性 的 要 求 增强 ,范围 扩大 ,要 求 鉴别 信息 和 
重要 业务 数据 在 传输 过 程 中 都 要 保证 其 完整 性 。 对 数据 保密 性 要 求实 现 鉴别 信息 存储 保密 
性 ,数据 备份 增强 ,要求 一 定 的 硬件 元 余 。 

三 级 数据 及 备份 恢复 安全 要 求 : 对 数据 完整 性 的 要 求 增强 ,范围 扩大 ,增加 了 系统 管理 
数据 的 传输 完整 性 ,不 仅 能 够 检测 出 数据 受到 破坏 ,并 能 进行 恢复 。 对 数据 保密 性 要 求 范围 
扩大 到 实现 系统 管理 数据 ,鉴别 信息 和 重要 业务 数据 的 传输 和 存储 的 保密 性 ,数据 的 备份 不 
仅 要 求 本 地 完全 数据 备份 ,还 要 求 异 地 备份 和 宛 余 网 络 拓扑 。 

四 级 数据 及 备份 恢复 安全 要 求 : 为 进一步 保证 数据 的 完整 性 和 保密 性 ,提出 使 用 专 有 
的 安全 协议 的 要 求 。 同 时 ,备份 方式 增加 了 建立 异地 适时 灾难 备份 中 心 ,在 灾难 发 生 后 系统 
能 够 自动 切换 和 恢复 。 


6. 等 级 保护 管理 要 求 


在 等 级 保护 体系 里 ,管理 部 分 分 为 安全 管理 制度 、 安 全 管理 机 构 、 人 员 安 全 管理 、 系 统 建 
设 管理 和 系统 运 维 管理 5 大 类 ,具体 不 再 袭 述 。 


6.4 信息 安全 测评 认证 


本 节 将 介绍 安全 评估 标准 、 信 息 安 全 管理 体系 的 认证 、 国 家 信息 安全 测评 认证 体系 和 国 
外 测评 认证 体系 。 


5.4.1 安全 评估 标准 
1. 国外 安全 评估 标准 发 展 


1967 年 ,美国 国防 部 (DOD) 成 立 了 一 个 研究 组 ,针对 当时 计算 机 使 用 环境 中 的 安全 策 
略 进行 研究 ,其 研究 结果 是 Defense Science Board Report。20 世纪 70 年 代 后 期 ,DOD 对 当 
时 流行 的 操作 系统 KSOS、PSOS 和 KVM 进行 了 安全 方面 的 研究 。20 世纪 80 年 代 中 期 ， 
美国 国防 部 发 布 了 “可 信 计 算 机 系统 评估 准则 (TCSEC)”( 即 桔 皮 书 ), 这 是 世界 上 第 一 个 有 
关 信 息 技术 安全 评估 的 标准 。TCSEC 是 在 20 世纪 70 年 代 的 基础 理论 研究 成 果 Bell& La 
Padula 模型 基础 上 提出 的 ,其 初 囊 是 针对 操作 系统 的 安全 性 进行 评估 ,后 来 DOD 又 发 布 了 
可 信 数 据 库 解释 (TDID 可 信 网 络 解释 CTNI) 等 一 系列 相关 的 说 明和 指南 ,由 于 这 些 文档 发 
行 时 封面 均 为 不 同 的 颜色 ,因此 常 被 称 为 “彩虹 系列 ”。 

1988 年 ,加 拿 大 开始 制定 “加 拿 大 可 信 计 算 机 产品 评估 准则 (CTCPEC)”,1989 年 5 月 
公布 第 1 版 ,1993 年 1 月 公布 了 第 3 版 。20 世纪 90 年 代 初 ,英法 、 德 .和 荷 4 国 提出 了 包含 
保密 性 、 完 整 性 .可 用 性 等 概念 的 “信息 技术 安全 评估 准则 (ITSEC, 又 称 为 欧洲 白皮书 )”, 定 
义 了 从 E0 级 到 E6 级 的 7 个 安全 等 级 。1993 年 ,美国 对 TCSEC 作 了 补充 和 修改 ,制定 了 
“组 合 的 联邦 标准 (FC)”。 

在 1993 年 6 月 ,CTCPEC、FC、TCSEC 和 ITSEC 的 发 起 组 织 开 始 联 合 起 来 ,将 各 自 独 
立 的 准则 组 合成 一 个 单一 的 、 能 被 广泛 使 用 的 IT 安全 准则 ,发 起 组 织 包括 6 国 7 方 : 加 拿 


大 法国, 德国. 荷兰、 英国 ,美国 NIST(National Institute of Standards and Technology) 以 
及 美国 NSA(National Security Agency) ,他 们 的 代表 建立 了 CC 编辑 委员 会 (CCEB) 来 开发 
CC, 即 信息 技术 安全 评估 通用 准则 。CC 吸收 了 TCSEC 和 ITSEC 中 的 可 取 成 分 ,第 1 版 于 
1996 年 1 月 发 布 ,目前 的 版 本 是 2.1 版 ,已 于 1999 年 12 月 被 ISO 采 纳 为 国际 标准 ,编号 为 
ISO 15408。 为 保持 连续 性 ,ISO 在 文档 中 仍然 继续 使 用 “通用 准则 ”这 个 词汇 。CC 的 目的 
是 建立 一 个 各 国都 能 接受 的 通用 的 信息 安全 产品 和 系统 的 安全 评估 准则 ,国家 之 间 可 以 通 
过 签订 互 认 协 议 ,决定 相互 接受 的 认可 级 别 ,这 样 就 能 使 大 部 分 的 基础 性 安全 机 制 在 任何 一 
个 地 方 通过 了 CC 准则 评估 后 进入 国际 市 场 时 不 需要 再 作 评 价 , 使 用 国 只 需要 测试 与 国家 
主权 和 安全 相关 的 安全 功能 ,从 而 大 幅度 节省 评估 费用 ,有 利于 产品 的 市 场 推 广 。 

1989 年 ,ISO 制定 了 国际 标准 ISO 7498 一 2《 信 息 处 理 系统 开放 系统 互 连 基本 参考 模型 
第 2 部 分 安全 体系 结构 》。 该 标准 提供 了 安全 服务 与 有 关机 制 的 一 般 描述 ,确定 在 参考 模型 
内 部 可 以 提供 这 些 服务 与 机 制 的 位 置 。 

1995 年 ,英国 标准 协会 首次 出 版 了 BS7799 一 1, 该 标准 规定 了 一 套 适用 于 工商 业 组 织 
使 用 的 信息 系统 的 信息 安全 管理 体系 (ISMS) 控 制 条 件 ,包括 网 络 和 沟通 中 使 用 的 信息 处 理 
技术 ,并 提供 了 一 套 综合 的 信息 安全 实施 规则 ,作为 工商 业 组 织 的 信息 系统 在 大 多 数 情况 下 
所 遵循 的 唯一 参考 基准 ,标准 的 内 容 定期 进行 评定 。1999 年 ,英国 标准 协会 对 BS7799 的 
1995 版 本 进行 了 修订 和 扩展 ,出 版 了 BS7799: 1999 版 , 它 主要 由 两 大 部 分 组 成 : BS7799 一 
1: 1999(《 信 息 安全 管理 实施 细则 》) 和 BS7799 一 2: 1999(《 信 息 安全 管理 体系 规范 》) 。 它 充 
分 考虑 了 信息 处 理 技 术 , 尤 其 是 网 络 和 通信 领域 应 用 的 最 新 发 展 ,同时 还 强调 了 涉及 商务 的 
信息 安全 责任 ,扩展 了 新 的 控制 。 例 如 ,新 版 本 包括 关于 电子 商务 ,移动 计算 机 、 远 程 工 作 和 
外 部 采 办 等 领域 的 控制 。2000 年 12 月 ,BS7799 一 1 通过 国际 化 标准 组 织 认 可 ,正式 成 为 国 
际 标准 ISO 17799。ISOVIEC 17799 提供 了 一 套 综合 的 、 由 信息 安全 最 佳 实施 组 成 的 实施 规 
则 , 它 广泛 地 涵盖 了 几乎 所 有 的 安全 议题 ,非常 适合 于 作为 工商 业 及 大 中 小 组 织 的 信息 系 
统 在 大 多 数 情况 下 所 需 的 控制 范围 确定 的 参考 基准 。 目 前 ,已 有 20 多 个 国家 引用 了 
BS7799(ISO/IEC 17799) , 越 来 越 多 的 信息 安全 公司 都 以 BS7799 作 指 导 为 客户 提供 信息 安 
全 咨询 服务 。BS7799 是 国际 上 公认 的 信息 安全 管理 标准 。 


2. 国内 安全 评估 标准 发 展 


我 国 在 信息 系统 安全 的 研究 与 应 用 方面 与 其 他 先进 国家 相 比 有 一 定 的 差距 ,但 近年 来 ， 
国内 的 研究 人 员 已 经 在 信息 安全 方面 做 了 许多 工作 。1994 年 2 月 18 日 ,国务 院 发 布 了 (中 
华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 规 定 “ 重 点 保护 国家 事务 、 国 家 经 济 建设 . 国 
防 建设 、. 国 间 尖 端 科学 技术 等 重要 领域 的 信息 系统 的 安全 ”; 同时 规定 计算 机 信息 系统 “ 实 
行 安全 等 级 保护 ”, 并 且 采 取 了 相应 的 技术 措施 ,保障 信息 安全 建设 。1999 年 5 月 17 日 发 
布 了 国家 强制 性 标准 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17859 一 1999) ,为 安全 
产品 的 研制 提供 了 技术 支持 ,也 为 安全 系统 的 建设 和 管理 提供 了 技术 指导 。 该 标准 是 我 国 
计算 机 信息 系统 安全 保护 等 级 系列 标准 的 第 1 部 分 ,其 他 相关 应 用 指南 .评估 准则 等 正在 建 
设 中 。 

2001 年 3 月 ,国家 质量 技术 监督 局 发 布 了 推荐 性 标准 (信息 技术 、 安 全 技术 、 信 息 技术 
安全 性 评估 准则 》(GB/T 18336 一 2001) ,该 标准 等 同 于 国际 标准 ISO/IES 15408。2002 年 
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4 月 ,我 国 成 立 了 “全 国信 息 安全 标准 化 技术 委员 会 (TC260)”, 该 标 委 会 是 在 信息 安全 的 专 
业 领 域内 ,从 事 信息 安全 标准 化 工作 的 技术 工作 组 织 。 信 息 安全 标 委 会 设置 了 10 个 工作 
组 ,其 中 信息 安全 管理 ( 含 工程 与 开发 ) 工 作 组 (WG7) 负 责 对 信息 安全 的 行政 .技术 .人 员 等 
管理 提出 规范 要 求 及 指导 指南 ,包括 信息 安全 管理 指南 .信息 安全 管理 实施 规范 、 人 员 培 训 
教育 及 录用 要 求 . 信 息 安全 社会 化 服务 管理 规范 、 信 息 安全 保险 业务 规范 框架 和 安全 策略 要 
求 与 指南 。 


5.4.2 信息 安全 管理 体系 的 认证 
1. 信息 安全 管理 认证 


1) 信息 安全 管理 体系 认证 

信息 安全 管理 体系 认证 是 以 ISO/IEC 27001: 2005《 信 息 技术 安全 技术 信息 安全 管理 
体系 要 求 ) 及 其 他 信息 安全 管理 体系 规范 性 文件 为 认证 依据 ,由 认证 机 构 ( 第 三 方 ) 提 供 的 对 
组 织 的 信息 安全 管理 体系 满足 认证 依据 的 一 种 证 明 。 

如 果 组 织 的 信息 安全 管理 体系 按 ISO/IEC 27001 标准 或 其 等 效 标 准 或 规范 性 文件 被 
认证 ,这 些 被 认证 的 信息 安全 管理 体系 可 以 给 组 织 ( 内 部 ) 及 其 顾客 或 市 场 提供 信心 ,表明 组 
织 从 其 整体 业务 风险 的 角度 选择 了 适当 和 适宜 的 信息 安全 控制 措施 ,以 充分 保护 其 信息 资 
产 的 保密 性 、 完 整 性 和 可 用 性 ,组 织 有 能 力 在 证 书 确定 的 范围 内 通过 信息 安全 管理 体系 ,使 
得 其 信息 安全 管理 满足 相关 法 律 法 规 要 求 .顾客 要 求 以 及 其 他 商定 的 要 求 。 

2) 信息 安全 管理 体系 认证 机 构 

验证 组 织 的 信息 安全 管理 体系 与 相关 的 信息 安全 管理 体系 的 规定 要 求 (标准 或 其 他 规 
范 性 文件 ,如 ISO/IEC 27001) 的 符合 性 的 机 构 称 为 信息 安全 管理 体系 认证 机 构 。 信 息 安全 
管理 体系 审核 机 构 与 信息 安全 管理 体系 认证 机 构 之 间 存 在 很 大 不 同 ,可 能 存在 组 织 形式 方 
面 的 不 同 ,也 可 能 存在 实施 活动 与 过 程 的 不 同等 。 一 个 显著 的 差别 就 是 管理 体系 审核 机 构 
仅 就 组 织 的 信息 安全 管理 体系 与 规定 要 求 (标准 或 其 他 规范 性 文件 ?的 符合 性 进行 评价 和 得 
出 评价 结论 ,而 信息 安全 管理 体系 认证 机 构 除 了 完成 上 述 活 动 之 外 ,还 需 根 据 评价 结论 作出 
能 和 否 授予 保持、 暂停 .撤销 .更 新 的 认证 决定 ,并 颁发 相应 的 认证 文件 。 

3) 信息 安全 管理 体系 认证 机 构 的 认可 

所 谓 认可 ,是 关于 合格 评定 机 构 的 第 三 方 证 明 , 它 对 合格 评定 机 构 满足 规定 要 求 及 其 表 
明 的 有 能 力 实施 特定 的 合格 评定 任务 给 予 承认 。 认 可 包括 对 认证 机 构 ,检测 实验 室 、 校 准 实 
验 室 、 检 查 机 构 等 的 认可 。 信 息 安 全 管理 体系 认证 机 构 的 认可 就 是 由 认可 机 构 依 据 认 可 准 
则 ,如 ISO/IEC 17021《 合 格 评定 管理 体系 审核 认证 机 构 的 要 求 》) 和 ISO/IEC 27006《 信 息 技 
术 安 全 技术 信息 安全 管理 体系 审核 和 认证 机 构 要 求 》, 对 一 个 认证 机 构 能 和 否 从 事 信息 安全 管 
理 体系 认证 活动 的 能 力 进 行 评价 和 予以 证 明 。 

对 信息 安全 管理 体系 认证 机 构 的 认可 ,为 其 有 能 力 实施 其 承担 的 任务 提供 了 保证 ,从 而 
降低 了 拟 认证 组 织 和 获 证 组 织 顾 客 的 风险 。 这 些 ,一 是 为 拟 认证 的 组 织 如 何 选择 为 其 提供 
认证 服务 的 认证 机 构 提 供 了 信心 ; 二 是 使 获 证 组 织 的 顾客 .社会 和 市 场 对 获 证 组 织 在 认证 
所 涉及 的 信息 安全 管理 方面 的 行为 充满 信心 。 


4) CNAS 的 信息 安全 管理 体系 认证 机 构 的 认可 制度 

中 国 合格 评定 国家 认可 委员 会 (CNAS) 是 根据 (中 华人 民 共 和 国 认证 认可 条 例 ) 的 规 
定 , 由 国家 认证 认可 监督 管理 委员 会 批准 设立 并 授权 的 国家 认可 机 构 ,统一 负责 对 认证 机 
构 ,实验 室 和 检查 机 构 等 相关 机 构 的 认可 工作 。 


2. 信息 安全 管理 认证 的 规定 


CNAS 的 信息 安全 管理 体系 认可 制度 由 相关 的 认可 规范 文件 .认可 体系 文件 ,资源 和 特 
定 组 织 结 构 组 成 。 其 中 ,认可 规范 文件 包括 了 对 信息 安全 管理 体系 认证 机 构 认 可 要 求 性 文 
件 和 指导 性 文件 ,认可 体系 文件 包括 CNAS 为 实施 信息 安全 管理 体系 认证 机 构 的 认可 所 制 
定 的 内 部 程序 文件 和 指导 文件 ,资源 包括 CNAS 所 配置 的 项 目 管理 人 员 、 认 可 评审 员 、 认 可 
决定 人 员 和 技术 专家 等 ,组 织 结构 是 指 CNAS 建立 的 特定 的 \ 有 关 信 息 安全 管理 体系 认证 
机 构 认 可 的 专家 委员 会 。 认 可 规范 文件 包括 认可 规则 、 认 可 准则 、 认 可 指南 和 认可 方案 4 类 
文件 。 必 要 时 ,CNAS 还 会 为 上 述 4 种 文件 制定 解释 性 和 说 明 性 文件 , 即 认可 说 明 , 以 帮助 
认证 机 构 和 认可 评审 员 等 充分 理解 认可 规范 的 相关 具体 内 容 。 

1) 认可 规则 

它 是 CNAS 实施 认可 活动 的 政策 和 程序 。 适 用 于 信息 安全 管理 体系 认证 机 构 的 认可 
规则 文件 包括 以 下 文件 : 
CNAS-R01《 认 可 标识 和 认可 状态 声明 管理 规则 》; 
CNAS-R02《 公 正 性 和 保密 性 规则 》; 
CNAS-R03《 申 诉 、 投 诉 和 争议 处 理 规则 》; 
CNAS-RC01《 认 证 机 构 认可 规则 》; 
CNAS-RC02《 认 证 机 构 认可 资格 处 理 规则 》; 
CNAS-RC03《 认 证 机 构 信息 通报 规则 》; 
CNAS-RC04《 认 证 机 构 认可 收费 管理 规则 》; 
CNAS-RC05《 多 场所 认证 机 构 认可 规则 》; 
CNAS-RC07《 具 有 境外 关键 场所 的 认证 机 构 认 可 规则 》。 

2) 认可 准则 

它 是 CNAS 认可 的 认证 机 构 应 满足 的 基本 要 求 ,包括 等 同 采 用 相关 ISO/IEC 标准 、 导 
则 和 IAF 对 相关 ISO/IEC 标准 、 导 则 的 应 用 指南 ,以 及 特别 行业 的 特定 要 求 等 文件 。 适 用 
于 信息 安全 管理 体系 认证 机 构 的 认可 准则 文件 包括 以 下 文件 : 

。 CNAS-CC01: 2007《 管 理 体系 认证 机 构 要 求 》; 
CNAS-CC17《 信 息 安 全 管理 体系 认证 机 构 要 求 》; 

。 CNAS-CC11《 基 于 抽样 的 多 场所 认证 》; 

。 CNAS-CC12《 已 认可 的 管理 体系 认证 的 转换 》; 

。 CNAS-CC14《 计 算 机 辅助 审核 技术 在 获得 认可 的 管理 体系 认证 中 的 使 用 )。 

其 中 ,CNAS-CC01: 2007 和 CNAS-CC17 是 开展 信息 安全 管理 体系 认证 机 构 的 认可 的 
两 个 重要 准则 性 文件 。 

3) 认可 指南 

它 是 CNAS 对 认可 准则 的 说 明 或 应 用 指南 ,包括 通用 和 专项 说 明 或 应 用 指南 等 文件 
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等 。 适 用 于 信息 安全 管理 体系 认证 机 构 的 认可 指南 文件 包括 CNAS-GC02《 管 理 体系 结合 
审核 应 用 指南 》。 

4) 认可 方案 

它 是 针对 特别 领域 或 行业 对 认可 规则 、 认 可 准则 和 认可 指南 的 补充 。 目 前 ,CNAS 没有 
针对 信息 安全 管理 体系 认证 机 构 的 认可 制定 特定 的 认可 方案 。 

5) 认可 说 明 

适用 于 信息 安全 管理 体系 认证 机 构 的 认可 说 明文 件 为 CNAS-EC-027 信 息 安全 管理 体 
系 认证 机 构 的 认可 说 明 》, 该 文件 是 为 确保 CNAS 对 依据 ISO/IEC 27001: 2005 实施 信息 
安全 管理 体系 认证 的 机 构 的 评审 和 认可 的 一 致 性 ,指导 申请 和 获得 认可 的 信息 安全 管理 体 
系 认证 机 构 理解 和 实施 认可 规范 要 求 而 特别 制定 的 。 它 是 对 上 述 与 信息 安全 管理 体系 认证 
机 构 的 认可 相关 的 认可 规范 文件 的 补充 和 必要 说 明 。 该 文件 的 R 部 分 是 对 相关 认可 规则 
的 补充 和 进一步 说 明 ,C 部 分 是 对 相关 认可 准则 的 补充 和 进一步 说 明 ,G 部 分 是 对 相关 认可 
准则 的 应 用 指南 。 在 时 机 成 熟 时 ,该 文件 可 能 上 升 为 认可 方案 类 文件 。 


5.4.3 国家 信息 安全 测评 认证 体系 
1. 我 国信 息 安全 认证 的 演化 


信息 安全 标准 化 是 一 项 艰巨 .长 期 的 基础 性 工作 。 我 国 从 20 世纪 80 年 代 开始 ,在 全 国 
信息 技术 标准 化 技术 委员 会 信息 安全 分 技术 委员 会 和 各 界 的 努力 下 ,本 着 积极 采用 国际 标 
准 的 原则 ,转化 了 一 批 国际 信息 安全 基础 技术 标准 ,为 我 国信 息 安 全 技术 的 发 展 做 出 了 很 大 
的 贡献 。 同 时 ,公安 部 、 国 家 保密 局 .国家 密码 管理 委员 会 等 相继 制定 、 颁 布 了 一 批 信息 安全 
的 行业 标准 ,为 推动 信息 安全 技术 在 各 行业 的 应 用 和 普及 发 挥 了 积极 的 作用 。 为 适应 我 国 
信息 化 的 迅猛 发 展 ,1997 年 国务 院 拨 出 专款 设立 标准 攻关 项 目 , 应 急 制 定 了 分 组 过 滤 防 火 
墙 标 准 , 防 火 墙 系 统 安全 技术 要 求 , 应 用 网 关 防 火 墙 标准 ,网 关 安 全 技术 要 求 , 网 络 代 理 服务 
器 和 信息 选择 平台 安全 标准 ,鉴别 机 制 标准 ,数字 签名 机 制 标准 ,安全 电子 交易 标准 第 1 部 
分 , 抗 抵赖 机 制 , 网 络 安全 服务 标准 ,信息 系统 安全 评价 准则 及 测试 规范 ,安全 电子 数据 交换 
标准 ,安全 电子 商务 标准 第 1 部 分 , 密 钥 管理 框架 ,路 由 器 安全 技术 要 求 ,信息 技术 -n 位 块 
密码 算法 的 操作 方式 ,信息 技术 -开放 系统 互 连 - 上 层 安 全 模型 ,信息 技术 -开放 系统 互 连 -网 
络 层 安 全 协议 ,信息 技术 -安全 技术 -实体 鉴别 第 4 部 分 ,使 用 加 密 校 验 函数 的 机 制 等 标准 ， 
它们 成 为 我 国信 息 安 全 测评 认证 的 基础 。 随 着 我 国信 息 安全 测评 认证 制度 的 建立 与 推进 ， 
以 及 我 国信 息 安全 有 关 主 管 部 门 管理 力度 的 加 大 ,我 国信 息 安全 标准 化 工作 将 迎 来 更 大 的 
发 展 机 遇 。 


2. 我 国信 息 安全 认证 的 体系 结构 


我 国信 息 安 全 测评 认证 体系 由 三 个 层次 的 组 织 和 功能 构成 。 

第 一 层次 是 国家 信息 安全 测评 认证 管理 委员 会 。 这 个 管理 委员 会 是 一 个 跨 部 门 的 机 
构 ,代表 国家 有 关 信 息 产 业 和 信息 安全 主管 部 门 以 及 信息 安全 产品 的 供 方 、 需 方 ,对 中 国 国 
家 信息 安全 测评 认证 中 心 运作 的 独立 性 、 测 评 认证 活动 的 公正 性 、 科 学 性 和 规范 性 进行 监督 
管理 。 其 主要 职责 是 制定 、 修 订 有 关 认 证 实施 的 方针 、 政 策 性 文件 ; 审批 中 国 国 家 信息 安全 
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测评 认证 中 心 工作 规划 ; 审查 拟 开 展 认 证 产品 目录 并 报 经 国务 院 产品 质量 监督 行政 主管 部 
门 批准 实施 ; 审批 因 现行 标准 不 能 满足 认证 需要 时 由 认证 中 心 设 定 的 有 关 技 术 规 范 和 补充 
技术 要 求 ; 审批 测评 认证 中 心 的 外 部 检验 机 构 和 审核 机 构 以 及 批准 认证 证 书 的 撤销 ,受理 
有 关 投 诉 、 申 诉 等 。 

第 二 层次 是 国家 信息 安全 测评 认证 中 心 。 中 心 是 由 国家 授权 ,依据 有 关 标 准 和 认证 规 
范 ,根据 特定 的 产品 和 信息 系统 的 测试 审核 及 评估 结果 ,对 相应 产品 ,信息 系统 的 安全 性 做 
出 认证 ,并 颁发 证 书 的 实体 。 

第 三 层 是 若干 个 产品 或 信息 系统 的 测评 分 支 机 构 ( 实 验 室 、 分 中 心 等 ) ,测评 分 支 机 构 是 
经 中 心 授权 ,国家 认可 ,依据 标准 和 测评 规范 ,对 有 关 产 品 和 信息 系统 的 安全 性 进行 测试 评 
估 , 向 中 心 出 具 测 评 报 告 的 技术 组 织 。 测 评分 支 机 构 按 不 同 区 域 . 行 业 和 技术 专业 设立 。 一 
个 认证 管理 委员 会 ,一 个 认证 中 心 ,若干 个 不 同类 型 的 测评 分 支 机 构 共 同 构成 国家 信息 安全 
测评 认证 的 工作 体系 。 


3. 我 国信 息 安全 认证 机 构 


1997 年 年 初 ,经 国务 院 信 息 化 工作 领导 小 组 批准 ,国务 院 信息 化 工作 领导 小 组 办 公 室 
立项 筹建 “中 国 互联 网 络 安全 产品 测评 认证 中 心 ”。1998 年 7 月 ,中 心 建成 并 通过 国家 验 
收 。 分 家 华 副 总 理 专门 发 来 贺信 。1998 年 10 月 ,经 国家 质量 技术 监督 局 授权 ,成 立 “ 中 国 
国家 信息 安全 测评 认证 中 心 *。 再 经 过 4 个 月 的 评审 ,整改 和 复查 ,通过 “中国 产品 质量 认证 
机 构 国 家 认可 委员 会 "和 “中 国 实验 室 国 家 认可 委员 会 ”的 认可 。1999 年 2 月 ,国家 质量 技 
术 监 督 局 批准 了 中 国 国家 信息 安全 测评 认证 管理 委员 会 的 组 成 及 其 章程 ,批准 了 信息 产品 
安全 测评 认证 管理 办 法 、 首 批 认 证 目录 和 国家 信息 安全 认证 标志 。 

自 此 ,中 国 国 家 信息 安全 测评 认证 中 心 可 正式 对 外 开展 信息 安全 测评 认证 工作 。 中 国 
国家 信息 安全 测评 认证 中 心 是 依据 (中 华人 民 共 和 国产 品质 量 法 》《 中 华人 民 共 和 国产 品 
量 认证 管理 条 例 》 和 国家 有 关 信 息 安 全 管理 的 政策 .法律 法规 ,按照 国际 通用 准则 建立 的 代 
表 国 家 对 信息 安全 产品 、 信 息 技术 和 信息 系统 安全 性 以 及 信息 安全 服务 实施 公正 性 评价 的 
技术 职能 机 构 。CNISTEC 按照 国家 质量 技术 监督 局 发 布 的 认证 产品 目录 ,依据 有 关 标 准 
和 规范 开展 国家 信息 安全 测评 认证 。 

中 国 国家 信息 安全 测评 认证 中 心 具 有 两 方面 的 服务 功能 。 一 方面 面向 社会 、 面 向 产业 
和 市 场 ,对 有 关 厂 商 和 用 户 提供 技术 服务 ; 另 一 方面 则 是 面向 国家 ,为 信息 安全 各 主管 部 门 
进行 有 关 行 政 管理 ,执法 时 提供 技术 支持 。 中 国 国家 信息 安全 测评 认证 中 心 已 在 测试 环境 、 
测试 设备 、 重 要 标准 和 基本 测试 方法 ,评估 方法 和 专业 人 才 培 养 等 方面 基本 形成 了 测评 认证 
的 能 力 , 并 有 成 效 地 开展 了 对 外 服务 。 下 一 步 的 工作 重点 则 是 稳妥 地 推进 相关 测试 分 支 机 
构 的 建设 ,更 加 主动 地 为 业界 服务 ,为 信息 安全 各 主管 部 门 服务 ,全 力 推进 我 国 的 信息 安全 
标准 体系 的 建立 和 健全 ,深入 地 研究 总 结 信 息 安全 测试 技术 ,为 国家 进一步 完善 对 信息 安全 
的 行政 管理 和 技术 管理 做 出 应 有 的 努力 。 


5.4.4 国外 测评 认证 体系 


在 信息 安全 的 标准 化 中 ,众多 标准 化 组 织 在 安全 需求 服务 分 析 指导 、 安 全 技术 机 制 开 
发 .安全 评估 标准 等 方面 制定 了 许多 标准 及 草案 。 目 前 ,国外 主要 的 安全 评价 准则 有 美国 
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TCSEC( 桔 皮 书 ) ,该 标准 是 美国 国防 部 于 1985 年 制定 的 ,为 计算 机 安全 产品 的 评测 提供 了 
测试 和 方法 ,指导 信息 安全 产品 的 制造 和 应 用 。 它 将 安全 分 为 4 个 方面 (安全 政策 、 可 说 明 
性 、 安 全 保障 和 文档 ) 和 7 个 安全 级 别 ( 从 低 到 高 依次 为 D.Cl1、.CZ、B1、BZ、B3 和 A 级 )。 


1. 欧洲 ITSEC 测评 认证 体系 


1991 年 ,西欧 四 国 (英法 、 德 . 荷 ) 揭 示 了 信息 技术 安全 评价 推测 (ITSEC) ,ITSEC 首次 
提出 了 信息 安全 的 保密 性 、 完 整 性 .可 用 性 概念 ,把 可 信 计 算 机 的 概念 提高 到 可 信 信 息 技术 
的 高 度 上 来 认识 。 它 定义 了 从 EO 级 (不 满足 品质 ) 到 E6 级 (形式 化 验证 ) 的 7 个 安全 等 级 
和 10 种 安全 功能 。 同 样 在 1993 年 ,美国 发 表 了 《信息 技术 安全 性 评价 联邦 准则 》(FC)。 该 
标准 的 目的 是 提供 TCSEC 的 升级 版 本 ,同时 保护 已 有 投资 ,但 FC 有 很 多 缺陷 ,是 一 个 过 渡 
标准 ,后 来 结合 ITSEC 发 展 为 联合 公共 准则 。 


2. 联合 公共 准则 CC 


1993 年 6 月, 美国. 加拿大 及 欧洲 四 国 经 协商 同意 ,起 草 单一 的 通用 准则 (CC) 并 将 其 推 
进 到 国际 标准 。CC 的 目的 是 建立 一 个 各 国都 能 接受 的 通用 的 信息 安全 产品 和 系统 的 安全 
性 评价 准则 ,国家 与 国家 之 间 可 以 通过 签订 互 认 协议 ,决定 相互 接受 的 认可 级 别 ,这 样 能 使 
大 部 分 的 基础 性 安全 机 制 , 在 任何 一 个 地 方 通过 了 CC 准则 评价 并 得 到 许可 进入 国际 市 场 
时 就 不 需要 再 作 评价 ,使 用 国 只 需 测 试 与 国家 主权 和 安全 相关 的 安全 功能 ,从 而 大 幅 节省 评 
价 支出 并 迅速 推 向 市 场 。CC 结合 了 FC 及 ITSEC 的 主要 特征 , 它 强调 将 安全 的 功能 与 保 
障 分 离 ,并 将 功能 需求 分 为 9 类 63 族 , 将 保障 分 为 7 类 29 族 。 


3,. 系统 安全 工程 能 力 成 熟 模型 (SSE-CMM) 


美国 国家 安全 局 于 1993 年 4 月 提出 了 一 个 专门 应 用 于 系统 安全 工程 的 能 力 成 熟 模型 
(CMM) 的 构思 。 该 模型 定义 了 一 个 安全 工程 过 程 应 有 的 特征 ,这 些 特 征 是 完善 的 安全 工程 
的 根本 保证 。 


4. ISO 安全 体系 结构 标准 


国际 标准 化 组 织 (ISO) 公 布 了 许多 安全 评价 标准 。 在 安全 体系 结构 方面 ,1989 年 ISO 
制定 了 国际 标准 ISO 7498 一 2 信息 处 理 系统 开放 系统 互 连 基 本 参考 模型 第 2 部 分 安全 体 
系 结构 》。 该 标准 提供 了 安全 服务 与 有 关机 制 的 一 般 描述 ,确定 在 参考 模型 内 部 可 以 提供 这 
些 服务 与 机 制 的 位 置 。 

由 于 现 有 的 从 开放 系统 互 连 概念 导出 的 一 系列 安全 体系 结构 、 安 全 框架 和 安全 机 制 不 
能 完全 适应 因特网 的 环境 , 且 不 能 满足 实际 需要 ,同时 按 国际 标准 化 组 织 的 程序 来 制定 因 特 
网 的 标准 也 需要 一 个 比较 长 的 过 程 ,解决 不 了 当前 的 急用 。 在 此 背景 下 ,因特网 上 出 现 了 标 
为 RFC 的 协议 文稿 ,内 容 广泛 ,也 包括 安全 方面 的 建议 稿 , 经 过 网 上 讨论 修改 ,被 大 家 接受 
的 就 成 了 事实 上 的 标准 。 

而 信息 安全 产品 和 系统 的 安全 评价 事 关 国家 安全 利益 ,通常 任何 国家 都 不 会 轻易 相信 
由 别 的 国家 所 作 的 评价 结果 .为 保险 起 见 . 总 要 通过 自己 的 测试 才 认 为 可 靠 。 因 此 ,没有 一 
个 国家 会 把 事 关 国家 安全 利益 的 信息 安全 产品 和 系统 的 安全 可 信 性 建立 在 别人 的 评价 基础 


上 。 各 个 国家 在 充分 借鉴 国际 标准 的 前 提 下 ,制定 自己 的 测评 认证 标准 ,这 样 就 出 现 了 许多 
个 国家 的 信息 安全 标准 化 组 织 。 


侣 题 5 


1. 选择 题 

(1) 信息 安全 标准 化 工作 的 发 展 趋势 是 ( )s 
A. 走 国际 化 合作 之 路 B. 走 商 业 化 发 展 之 路 
C. 明确 研究 方向 D. 有 很 好 的 商业 价值 


(2) 我 国信 息 安全 测评 认证 体系 由 ( ) 层 次 的 组 织 和 功能 构成 。 
A. 国家 信息 安全 测评 认证 管理 委员 会 
B. 国家 信息 安全 监理 会 
C. 国家 信息 安全 测评 认证 中 心 
D. 若干 个 产品 或 信息 系统 的 测评 分 支 机 构 
2. 简 答 题 
(1) 简单 介绍 标准 化 的 管理 原理 。 
(2) 简单 介绍 SSE-CMM 的 基本 思想 。 
3. 论述 题 
等 级 保护 技术 包括 哪些 方面 ? 


本 章 将 介绍 信息 安全 管理 ,信息 安全 运行 管理 ,信息 安全 风险 评估 和 信息 系统 安全 和 审计 
等 方面 的 概念 ,标准 和 方法 。 要 求学 生 掌 握 信息 安全 管理 技术 和 方法 。 


@.1 信息 安全 管理 


信息 安全 管理 是 一 个 系统 工程 , 它 需 要 对 整个 网 络 中 的 各 个 环节 进行 统一 的 综合 考虑 、 
规划 和 构架 ,并 要 时 时 兼顾 组 织 内 不 断 发 生 的 变化 。 任 何 单个 环节 的 安全 缺陷 都 会 对 系统 
的 整体 安全 构成 威胁 。 据 权威 机 构 统计 表明 : 网 络 与 信息 安全 事件 中 大 约 有 70% 以 上 的 问 
题 都 是 由 管理 方面 的 原因 造成 的 。 这 正 应 了 人 们 常 说 的 “三 分 技术 ,七 分 管理 ”的 篇 言 。 因 
此 ,解决 网 络 与 信息 安全 的 问题 ,不 仅 应 从 技术 方面 着 手 , 同 时 更 应 该 加 强 网 络 与 信息 安全 
的 管理 工作 。 信 息 安全 管理 体系 是 实现 组 织 的 信息 安全 目标 的 全 过 程 。 本 节 将 在 李 慧 硕士 
论文 (2005 六 信息 安全 管理 体系 研究 ”和 张 心 明 论文 (2004, 现 代 情 报 六 信息 安全 管理 ”研究 
的 基础 上 ,结合 相关 的 信息 安全 管理 标准 及 资料 ,介绍 信息 安全 管理 体系 的 定义 、 功 能 、 框 
架 、 标 准 和 构建 方法 等 。 


6.1.1 信息 安全 管理 体系 概念 
1. 信息 安全 管理 体系 


1) 信息 安全 管理 及 安全 体系 概述 

信息 安全 管理 是 指导 和 控制 组 织 的 关于 信息 安全 风险 的 相互 协调 活动 ,关于 信息 安全 
风险 的 指导 和 控制 活动 ,通常 包括 制定 信息 安全 方针 、 风 险 评估 控制 目标 与 方式 选择 、 风 险 
控制 .安全 保证 等 。 而 要 对 组 织 的 信息 的 安全 性 进行 高 效 、 动 态 的 管理 就 必须 依据 信息 安全 
管理 模型 和 信息 安全 管理 标准 构建 组 织 的 信息 安全 管理 体系 。 

现在 对 信息 安全 管理 体系 (Information Security Management System,ISMS) 还 没有 一 
个 明确 的 定义 。 在 ISO/IEC 17799 中 ,信息 安全 管理 体系 可 以 被 理解 为 是 组 织 管理 体系 的 
一 部 分 ,专门 用 于 组 织 的 信息 资产 风险 管理 ,确保 组 织 的 信息 安全 ,包括 为 制定 .实施 .评审 
和 保持 信息 安全 方针 所 需要 的 组 织 机 构 、 目 标 、 职 责 、 程 序 . 过 程 和 资源 。 信 息 安 全 管理 体系 
中 包含 很 多 的 “反馈 环 路 ”。 这 些 “ 反 馈 环 路 ”可 以 对 系统 的 安全 性 进行 监测 和 控制 ,以 此 使 
组 织 的 残余 风险 最 小 化 ,确保 组 织 满足 客户 和 法 律 的 要 求 。 


2) 信息 安全 管理 体系 的 功能 和 作用 

一 个 有 效 的 信息 安全 管理 体系 具有 如 下 功能 : 强化 员工 的 信息 安全 意识 ,规范 组 织 的 
信息 安全 行为 ; 对 组 织 的 关键 信息 资产 进行 全 面 系统 的 保护 ,维持 竞争 优势 ; 使 组 织 本 着 
预防 和 系统 持续 发 展 的 观点 处 理 意外 事件 和 损失 ,在 信息 系统 受到 侵袭 时 ,确保 业务 持续 开 
展 并 将 损失 降 到 最 低 程度 ; 使 组 织 的 生意 伙伴 和 客户 对 组 织 充满 信心 ; 使 组 织 定期 地 考虑 
新 的 威胁 和 脆弱 点 ,并 对 系统 进行 更 新 和 控制 ; 促使 管理 层 坚持 贯彻 信息 安全 保障 体系 。 

信息 安全 管理 体系 提供 了 考虑 安全 维持 安全 、 改 进 安全 所 必需 的 工具 , 即 管 理 安全 的 
工具 。 信 息 安 全 的 基本 目标 就 是 保证 网 络 和 信息 的 保密 性 、 完 整 性 和 可 用 性 。 

3) 建立 信息 安全 管理 体系 的 作用 与 意义 

信息 安全 管理 体系 是 组 织 在 整体 或 特定 范围 内 建立 信息 安全 方针 和 目标 ,以 及 完成 这 
些 目标 所 用 方法 的 体系 。 它 是 基于 业务 风险 方法 来 建立 实施 .运行 监视. 评审、 保持 和 改 
进 组 织 的 信息 安全 系统 ,其 目的 是 保障 组 织 的 信息 安全 。 它 是 直接 管理 活动 的 结果 ,表示 成 
方针 、 原 则 ,目标 、 方 法 、 过 程 、 核 查 表 等 要 素 的 集合 ,是 涉及 人 ,程序 和 信息 技术 的 系统 。 

建立 健全 的 信息 安全 管理 体系 对 企业 的 安全 管理 工作 和 企业 的 发 展 意义 重大 。 首 先 ， 
此 体系 的 建立 将 提高 员工 信息 安全 意识 ,提升 企业 信息 安全 管理 的 水 平 , 增 强 组 织 抵御 灾难 
性 事件 的 能 力 ,是 企业 信息 化 建设 中 的 重要 环节 , 必 将 大 大 提高 信息 管理 工作 的 安全 性 和 可 
靠 性 ,使 其 更 好 地 服务 于 企业 的 业务 发 展 。 其 次 ,通过 信息 安全 管理 体系 的 建设 ,可 有 效 提 
高 对 信息 安全 风险 的 管控 能 力 , 通 过 与 等 级 保护 、 风 险 评估 等 工作 接续 起 来 ,使 得 信息 安全 
管理 更 加 科学 有 效 。 最 后 ,信息 安全 管理 体系 的 建立 将 使 得 企业 的 管理 水 平 与 国际 先进 水 
平 接轨 ,从 而 成 长 为 企业 向 国际 化 发 展 与 合作 的 有 力 支撑 。 参 照 信息 安全 管理 模型 ,按照 先 
进 的 信息 安全 管理 标准 建立 的 全 面 规划 .明确 目的 ` 正 确 部 署 .组 织 完整 的 信息 安全 管理 体 
系 ,达到 动态 的 ,系统 的 .全 员 参 与 的 ,制度 化 的 \ 以 预防 为 主 的 信息 安全 管理 方式 ,实现 用 最 
低 的 成 本 ,保障 信息 安全 合理 水 平 , 从 而 保证 业务 的 有 效 性 与 连续 性 。 

组 织 建立 ,实施 与 保持 信息 安全 管理 体系 产生 的 作用 主要 有 以 下 几 点 : 强化 员工 的 信 
息 安 全 意识 ,规范 组 织 信息 安全 行为 ; 对 组 织 的 关键 信息 资产 进行 全 面 系统 的 保护 ,维持 竞 
争 优势 ; 在 信息 系统 受到 侵袭 时 ,确保 业务 持续 开展 并 将 损失 降 到 最 低 程度 ; 使 组 织 的 生 
意 伙伴 和 客户 对 组 织 充满 信心 ; 如 果 通 过 体系 认证 ,表明 体系 符合 标准 ,证 明 组 织 有 能 力 保 
障 重要 信息 ,提高 组 织 的 知名 度 与 信任 度 ; 促使 管理 层 坚持 贯彻 信息 安全 保障 体系 。 


2. 信息 安全 管理 体系 的 建设 思路 


信息 安全 管理 体系 (ISMS) 是 一 个 系统 化 、 程 序 化 和 文件 化 的 管理 体系 ,属于 风险 管理 
的 范畴 ,体系 的 建立 需要 基于 系统 ,全面 、 科 学 的 安全 风险 评估 。ISMS 体现 预防 控制 为 主 
的 思想 ,强调 遵守 国家 有 关 信 息 安 全 的 法 律 法 规 , 强 调 全 过 程 和 动态 控制 ,本 着 控制 费用 与 
风险 平衡 的 原则 ,合理 选择 安全 控制 方式 保护 组 织 所 拥有 的 关键 信息 资产 ,确保 信息 的 保密 
性 完整 性 和 可 用 性 ,从 而 保持 组 织 的 竞争 优势 和 业务 运作 的 持续 性 。 构 建 信息 安全 管理 体 
系 不 是 一 跳 而 就 的 ,也 不 是 每 个 企业 都 使 用 一 个 统一 的 模板 ,不同 的 组 织 在 建立 与 完善 信息 
安全 管理 体系 时 ,可 根据 自己 的 特点 和 具体 情况 采取 不 同 的 步骤 和 方法 。 但 总 体 来 说 ,建立 
信息 安全 管理 体系 一 般 要 经 过 以 下 几 个 主要 步骤 : 
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1) 信息 安全 管理 体系 的 策划 与 准备 

策划 与 准备 阶段 主要 是 做 好 建立 信息 安全 管理 体系 的 各 种 前 期 工作 。 内 容 包 括 教育 培 
训 、 拟 定 计 划 .安全 管理 发 展 情况 调研 以 及 人 力 资源 的 配置 与 管理 。 

2) 确定 信息 安全 管理 体系 适用 的 范围 

信息 安全 管理 体系 的 范围 就 是 需要 重点 进行 管理 的 安全 领域 。 组 织 需要 根据 自己 的 实 
际 情况 ,可 以 在 整个 组 织 范围 内 ,也 可 以 在 个 别 部 门 或 领域 内 实施 。 在 本 阶段 ,应 将 组 织 划 
分 成 不 同 的 信息 安全 控制 领域 ,这 样 做 易于 组 织 对 有 不 同 需求 的 领域 进行 适当 的 信息 安全 
管理 。 在 定义 适用 范围 时 ,应 重点 考虑 组 织 的 适用 环境 、 适 用 人 员 、 现 有 IT 技术 、. 现 有 信息 
资产 等 。 

3) 现状 调查 与 风险 评估 

依据 有 关 信 息 安全 技术 与 管理 标准 ,对 信息 系统 及 由 其 处 理 、 传 输 和 存储 的 信息 的 机 密 
性 、 完 整 性 和 可 用 性 等 安全 属性 进行 调研 和 评价 ,评估 信息 资产 面临 的 威胁 以 及 导致 安全 事 
件 发 生 的 可 能 性 ,并 结合 安全 事件 所 涉及 的 信息 资产 价值 来 判断 安全 事件 一 旦 发 生 对 组 织 
造成 的 影响 。 

4) 建立 信息 安全 管理 框架 

建立 信息 安全 管理 体系 要 规划 和 建立 一 个 合理 的 信息 安全 管理 框架 ,要 从 整体 和 全 局 
的 视角 ,从 信息 系统 的 所 有 层面 进行 整体 安全 建设 ,从 信息 系统 本 身 出 发 ,根据 业务 性 质 、 组 
织 特征 \ 信 息 资产 状况 和 技术 条 件 建立 信息 资产 清单 ,进行 风险 分 析 、 需 求 分 析 和 选择 安全 
控制 ,准备 适用 性 声明 等 步骤 ,从 而 建立 安全 体系 并 提出 安全 解决 方案 。 

5) 信息 安全 管理 体系 文件 编写 

建立 并 保持 一 个 文件 化 的 信息 安全 管理 体系 是 ISO/IEC 27001: 2005 标准 的 总 体 要 
求 ,编写 信息 安全 管理 体系 文件 是 建立 信息 安全 管理 体系 的 基础 工作 ,也 是 一 个 组 织 实现 风 
险 控制 .评价 和 改进 信息 安全 管理 体系 、 实 现 持续 改进 不 可 缺少 的 依据 。 在 信息 安全 管理 体 
系 建立 的 文件 中 应 该 包含 安全 方针 文档 .适用 范围 文档 风险 评估 文档 .实施 与 控制 文档 . 适 
用 性 声明 文档 。 

6) 信息 安全 管理 体系 的 运行 与 改进 

信息 安全 管理 体系 文件 编制 完成 以 后 ,组 织 应 按照 文件 的 控制 要 求 进行 审核 与 批准 并 
发 布 实施 。 至 此 ,信息 安全 管理 体系 将 进入 运行 阶段 。 在 此 期 间 , 组 织 应 加 强 运作 力度 , 充 
分 发 挥 体系 本 身 的 各 项 功能 ,及 时 发 现 体系 策划 中 存在 的 问题 , 找 出 问题 根源 ,采取 纠正 措 
施 , 并 按照 更 改 控制 程序 要 求 对 体系 予以 更 改 , 以 达到 进一步 完善 信息 安全 管理 体系 的 
目的 。 

7) 信息 安全 管理 体系 审核 

体系 审核 是 为 获得 审核 证 据 , 对 体系 进行 客观 的 评价 ,以 确定 满足 审核 准则 的 程度 所 进 
行 的 系统 的 、 独 立 的 并 形成 文件 的 检查 过 程 。 体 系 审核 包括 内 部 审核 和 外 部 审核 (第 三 方 审 
核 )。 内 部 审核 一 般 以 组 织 名 义 进行 ,可 作为 组 织 自 我 合格 检查 的 基础 ; 外 部 审核 由 外 部 独 
立 的 组 织 进行 ,可 以 提供 符合 要 求 ( 如 ISO/IEC 27001) 的 认证 或 注册 。 信 息 安 全 管理 体系 
的 建立 是 一 个 目标 全 加 的 过 程 ,是 在 不 断 发 展 变化 的 技术 环境 中 进行 的 ,是 一 个 动态 的 、 闭 
环 的 风险 管理 过 程 。 要 想 获得 有 效 的 成 果 , 需 要 从 评估 防护、 监管 ,响应 到 恢复 ,这 些 都 需 
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要 从 上 到 下 的 参与 和 重视 ,否则 只 能 是 流 于 形式 与 过 程 ,起 不 到 真正 有 效 的 安全 控制 目的 和 
作用 。 


6.1.2 信息 安全 管理 体系 标准 


信息 安全 管理 体系 是 按照 ISO/IEC 27001 标准 《信息 技术 安全 技术 信息 安全 管理 体 
系 要 求 》 的 要 求 建立 的 ,ISOVIEC 27001 标准 是 由 BS7799 一 2 标准 发 展 而 来 。 标 准 GB/T 
22080 一 2008《 信 息 技 术 安全 技术 信息 安全 管理 体系 要 求 ) 是 在 标准 ISO/IEC 27001: 2005 
《信息 技术 安全 技术 信息 安全 管理 体系 要 求 ) 基 础 上 发 展 的 ,而 且 与 之 类 似 。 

信息 安全 管理 体系 是 建立 和 维持 信息 安全 管理 体系 的 标准 ,标准 要 求 组 织 通过 确定 信 
息 安 全 管理 体系 范围 ,制定 信息 安全 方针 、 明 确 管 理 职责 .以 风险 评估 为 基础 选择 控制 目标 
与 控制 方式 等 活动 建立 信息 安全 管理 体系 。 体 系 一 旦 建立 ,组 织 应 按 体系 规定 的 要 求 进行 
运作 ,保持 体系 运作 的 有 效 性 。 信 息 安全 管理 体系 应 形成 一 定 的 文件 , 即 组 织 应 建立 并 保持 
一 个 文件 化 的 信息 安全 管理 体系 ,其 中 应 曾 述 被 保护 的 资产 .组织 风险 管理 的 方法 ,控制 目 
标 及 控制 方式 和 需要 的 保证 程度 。 

标准 GB/T 22080 一 2008 的 基础 是 PDCA 过 程 模式 的 应 用 。PDCA 过 程 模式 的 理论 基 
础 是 戴 明 环 ,包括 P 策 划 ,D 实施 ,C 检查 和 A 措施 4 个 部 分 。 

(1) P 策划 。 依 照 组 织 整个 方针 和 目标 ,建立 与 控制 风险 、 提 高 信息 安全 有 关 的 安全 方 
针 \ 目 标 、 指 标 、 过 程 和 程序 。 

(2) DD 实施 。 实 施 和 运作 方针 (过 程 和 程序 )。 

(3) C 检查 。 依 据 方针 、 目 标 和 实际 经 验 测量 ,评估 过 程 业 绩 , 并 向 决策 者 报告 结果 。 

(4) A 措施 。 采 取 纠 正和 预防 措施 进一步 提高 过 程 业绩 。4 个 步骤 成 为 一 个 闭环 , 通 
过 这 个 环 的 不 断 运转 ,使 信息 安全 管理 体系 得 到 持续 改进 ,使 信息 安全 绩效 螺旋 上 升 。 


1. P 策 化 一 建立 信息 安全 管理 体系 环境 和 风险 评估 


要 启动 PDCA 循环 ,必须 有 “启动 器 ”: 提供 必需 的 资源 、 选 择 风险 管理 方法 ,确定 评审 
方法 文件 化 实践 。 设 计策 划 阶 段 就 是 为 了 确保 正确 建立 信息 安全 管理 体系 的 范围 和 详 略 
程度 ,识别 并 评估 所 有 的 信息 安全 风险 ,为 这 些 风险 制定 适当 的 处 理 计 划 。 策 划 阶 段 的 所 有 
重要 活动 都 要 被 文件 化 ,以 备 将 来 追溯 和 控制 更 改 情况 。 

1) 确定 范围 和 方针 

信息 安全 管理 体系 可 以 覆盖 组 织 的 全 部 或 者 部 分 。 无 论 是 全 部 还 是 部 分 ,组 织 都 必须 
明确 界定 体系 的 范围 ,如 果 体 系 仅 涵盖 组 织 的 一 部 分 ,这 就 变 得 更 重要 了 。 信 息 安全 管理 体 
系 范围 文件 应 该 涵盖 : 

确立 信息 安全 管理 体系 范围 和 体系 环境 所 需 的 过 程 ; 战略 性 和 组 织 化 的 信息 安全 管理 
环境 ; 组 织 的 信息 安全 风险 管理 方法 ; 信息 安全 风险 评价 标准 以 及 所 要 求 的 保证 程度 ; 信 
息 资产 识别 的 范围 。 信 息 安全 管理 体系 也 可 能 在 其 他 信息 安全 管理 体系 的 控制 范围 内 。 在 
这 种 情况 下 ,上 下 级 控制 的 关系 有 下 列 两 种 可 能 : 下 级 信息 安全 管理 体系 不 使 用 上 级 信息 
安全 管理 体系 的 控制 。 在 这 种 情况 下 ,上 级 信息 安全 管理 体系 的 控制 不 影响 下 级 信息 安全 
管理 体系 的 PDCA 活动 。 下 级 信息 安全 管理 体系 使 用 上 级 信息 安全 管理 体系 的 控制 。 在 
这 种 情况 下 ,上 级 信息 安全 管理 体系 的 控制 可 以 被 认为 是 下 级 信息 安全 管理 体系 策划 活动 


物 联 网 安全 教程 


的 “外 部 控制 ”。 尽 管 此 类 外 部 控制 并 不 影响 下 级 信息 安全 管理 体系 的 实施 、 检 查 、 措 施 活 
动 ,但 是 下 级 信息 安全 管理 体系 仍然 有 责任 确认 这 些 外 部 控制 提供 了 充分 的 保护 。 安 全 方 
针 是 关于 在 一 个 组 织 内 ,指导 如 何 对 信息 资产 进行 管理 ,保护 和 分 配 的 规则 、 指 示 , 是 组 织 信 
息 安全 管理 体系 的 基本 法 。 组 织 的 信息 安全 方针 描述 信息 安全 在 组 织 内 的 重要 性 ,表明 管 
理 层 的 承诺 ,提出 组 织 管理 信息 安全 的 方法 ,为 组 织 的 信息 安全 管理 提供 方向 和 支持 。 

2) 定义 风险 评估 的 系统 性 方法 

确定 信息 安全 风险 评估 方法 ,并 确定 风险 等 级 准则 。 评 估 方 法 应 该 和 组 织 既 定 的 信息 
安全 管理 体系 范围 .信息 安全 需求 .法律 法 规 要 求 相 适应 ,兼顾 效果 和 效率 。 组 织 需要 建立 
风险 评估 文件 ,解释 所 选择 的 风险 评估 方法 ,说 明 为 什么 该 方法 适合 组 织 的 安全 要 求 和 业务 
环境 ,介绍 所 采用 的 技术 和 工具 ,以 及 使 用 这 些 技术 和 工具 的 原因 。 评 估 文 件 还 应 该 规范 下 
列 评估 细节 : 信息 安全 管理 体系 内 资产 的 估价 ,包括 所 用 的 价值 尺度 信息 ; 威胁 及 薄弱 点 
的 识别 ; 可 能 利用 薄弱 点 的 威胁 的 评估 ,以 及 此 类 事故 可 能 造成 的 影响 ; 以 风险 评估 结果 
为 基础 的 风险 计算 ,以 及 剩余 风险 的 识别 。 

3) 识别 风险 

识别 信息 安全 管理 体系 控制 范围 内 的 信息 资产 ; 识别 对 这 些 资产 的 威胁 ; 识别 可 能 被 
威胁 利用 的 薄弱 点 ; 识别 保密 性 、 完 整 性 和 可 用 性 丢失 对 这 些 资 产 的 潜在 影响 。 

4) 评估 风险 

根据 资产 保密 性 、 完 整 性 或 可 用 性 丢失 的 潜在 影响 ,评估 由 于 安全 失败 可 能 引起 的 商业 
影响 ; 根据 与 资产 相关 的 主要 威胁 、 薄 弱点 及 其 影响 ,以 及 目前 实施 的 控制 ,评估 此 类 失败 
发 生 的 现实 可 能 性 ; 根据 既定 的 风险 等 级 准则 ,确定 风险 等 级 。 

5) 识别 并 评价 风险 处 理 的 方法 

对 于 所 识别 的 信息 安全 风险 ,组 织 需 要 加 以 分 析 , 区 别 对 待 。 如 果 风 险 满足 组 织 的 风险 
接受 方针 和 准则 ,那么 就 有 意 地 、 客 观 地 接受 风险 ; 对 于 不 可 接受 的 风险 ,组 织 可 以 考虑 避 
免 风 险 或 者 将 风险 转移 ; 对 于 不 可 避免 也 不 可 转移 的 风险 ,应 该 采取 适当 的 安全 控制 ,将 其 
降低 到 可 接受 的 水 平 。 

6) 为 风险 的 处 理 选 择 控制 目标 与 控制 方式 

选择 并 文件 化 控制 目标 和 控制 方式 ,以 将 风险 降低 到 可 接受 的 等 级 。BS 7799 一 2: 2002 
附录 A 提供 了 可 供 选择 的 控制 目标 与 控制 方式 。 不 可 能 总 是 以 可 接受 的 费用 将 风险 降低 
到 可 接受 的 等 级 ,那么 需要 确定 是 增加 额外 的 控制 ,还 是 接受 高 风险 。 在 设 定 可 接受 的 风险 
等 级 时 ,控制 的 强度 和 费用 应 该 与 事故 的 潜在 费用 相 比 较 。 这 个 阶段 还 应 该 策划 安全 破坏 
或 者 违背 的 探测 机 制 ,进而 安排 预防 .制止 .限制 和 恢复 控制 。 在 形式 上 ,组 织 可 以 通过 设计 
风险 处 理 计划 来 完成 步骤 (5) 和 步骤 (6)。 风 险 处理 计 划 是 组 织 针对 所 识别 的 每 一 项 不 可 接 
受 风险 建立 的 详细 处 理 方案 和 实施 时 间 表 ,是 组 织 安全 风险 和 控制 措施 的 接口 性 文档 。 风 
险 处 理 计 划 不 仅 可 以 指导 后 续 的 信息 安全 管理 活动 ,还 可 以 作为 与 高 层 管理 者 、 上 级 领导 机 
构 、 合 作 伙伴 或 者 员工 进行 信息 安全 事宜 沟通 的 桥梁 。 这 个 计划 至 少 应 该 为 每 一 个 信息 安 
全 风险 阐明 以 下 内 容 : 组 织 所 选择 的 处 理 方法 ; 已 经 到 位 的 控制 ; 建议 采取 的 额外 措施 ; 
建议 的 控制 的 实施 时 间 框 架 。 

7) 获得 最 高 管理 者 的 授权 批准 

剩余 风险 的 建议 应 该 获得 批准 ,开始 实施 和 运作 信息 安全 管理 体系 需要 获得 最 高 管理 


者 的 授权 。 
2. D 实施 一 实施 并 运行 


PDCA 循环 中 这 个 阶段 的 任务 是 以 适当 的 优先 权 进 行 管理 运作 ,执行 所 选择 的 控制 ,以 
管理 策划 阶段 所 识别 的 信息 安全 风险 。 对 于 那些 被 评估 认为 是 可 接受 的 风险 ,不 需要 采取 
进一步 的 措施 。 对 于 不 可 接受 风险 ,需要 实施 所 选择 的 控制 ,这 应 该 与 策划 活动 中 准备 的 风 
险 处 理 计划 同步 进行 。 计 划 的 成 功 实施 需要 有 一 个 有 效 的 管理 系统 ,其 中 要 规定 所 选择 方 
法 ,分 配 职责 和 职责 分 离 , 并 且 要 依据 规定 的 方式 方法 监控 这 些 活动 。 

在 不 可 接受 的 风险 被 降低 或 转移 之 后 ,还 会 有 一 部 分 剩余 风险 。 应 对 这 部 分 风险 进行 
控制 ,确保 不 期 望 的 影响 和 破坏 被 快速 识别 并 得 到 适当 管理 。 本 阶段 还 需要 分 配 适 当 的 资 
源 ( 人 员 、 时 间 和 资金 ) 运 行 信 息 安 全 管理 体系 以 及 所 有 的 安全 控制 ,包括 将 所 有 已 实施 控制 
的 文件 化 ,以 及 信息 安全 管理 体系 文件 的 积极 维护 。 

提高 信息 安全 意识 的 目的 就 是 产生 适当 的 风险 和 安全 文化 ,保证 意识 和 控制 活动 的 同 
步 , 还 必须 安排 针对 信息 安全 意识 的 培训 ,并 检查 意识 培训 的 效果 ,以 确保 其 持续 有 效 和 实 
时 性 。 如 有 必要 应 对 相关 方 实施 有 针对 性 的 安全 培训 ,以 支持 组 织 的 意识 程序 ,保证 所 有 相 
关 方 能 按照 要 求 完 成 安全 任务 。 本 阶段 还 应 该 实施 并 保持 策划 了 的 探测 和 响应 机 制 。 


3. C 检查 一 监视 并 评审 


1) 检查 阶段 

它 是 PDCA 循环 的 关键 阶段 ,是 信息 安全 管理 体系 要 分 析 运 行 效果 ,寻求 改进 机 会 的 
阶段 。 如 果 发 现 一 个 控制 措施 不 合理 ,不 充分 ,就 要 采取 纠正 措施 ,以 防止 信息 系统 处 于 不 
可 接受 风险 状态 。 组 织 应 该 通过 多 种 方式 检查 信息 安全 管理 体系 是 否 运行 良好 ,并 对 其 业 
绩 进 行 监视 ,可 能 包括 下 列 管理 过 程 

(1) 执行 程序 和 其 他 控制 以 快速 检测 处 理 结果 中 的 错误 ; 快速 识别 安全 体系 中 失败 的 
和 成 功 的 破坏 ; 能 使 管理 者 确认 人 工 或 自动 执行 的 安全 活动 达到 预期 的 结果 ; 按照 商业 优 
先 权 确定 解决 安全 破坏 所 要 采取 的 措施 ; 接受 其 他 组 织 和 组 织 自身 的 安全 经 验 。 

(2) 常规 评审 信息 安全 管理 体系 的 有 效 性 ; 收集 安全 审核 的 结果 ,事故 ,以 及 来 自 所 有 
股东 和 其 他 相关 方 的 建议 和 反馈 ,定期 对 信息 安全 管理 体系 有 效 性 进行 评审 。 

(3) 评审 剩余 风险 和 可 接受 风险 的 等 级 ; 注意 组 织 、 技 术 、 商 业 目 标 和 过 程 的 内 部 变 
化 ,以 及 已 识别 的 威胁 和 社会 风尚 的 外 部 变化 ; 定期 评审 剩余 风险 和 可 接受 风险 等 级 的 合 
理性 。 

(4) 审核 是 执行 管理 程序 ,以 确定 规定 的 安全 程序 是 否 适当 、 是 否 符合 标准 ,以 及 是 否 
按照 预期 的 目的 进行 工作 。 审 核 就 是 按照 规定 的 周期 (最 多 不 超过 一 年 ) 检 查 信息 安全 管理 
体系 的 所 有 方面 是 否 行 之 有 效 。 审 核 的 依据 包括 BS 7799 一 2: 2002 标准 和 组 织 所 发 布 的 
信息 安全 管理 程序 。 应 该 进行 充分 的 审核 策划 ,以 便 审核 任务 能 在 审核 期 间 按 部 就 班 地 展开 。 

2) 评审 阶段 

信息 安全 方针 仍然 是 业务 要 求 的 正确 反映 ; 正在 遵循 文件 化 的 程序 (信息 安全 管理 体 
系 范围 内 ) ,并 且 能 够 满足 其 期 望 的 目标 ; 有 适当 的 技术 控制 (例如 防火 墙 \ 实 物 访问 控制 )， 
被 正确 地 配置 , 且 行 之 有 效 ; 剩余 风险 已 被 正确 评估 ,并 且 是 组 织 管理 可 以 接受 的 ; 前 期 审 
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核 和 评审 所 认同 的 措施 已 经 被 实施 ; 审核 会 包括 对 文件 和 记录 的 抽样 检查 ,以 及 口头 审核 
管理 者 和 员工 。 正 式 评 审 是 为 了 确保 范围 保持 充分 性 ,以 及 信息 安全 管理 体系 过 程 的 持续 
改进 得 到 识别 和 实施 ,组 织 应 定期 对 信息 安全 管理 体系 进行 正式 的 评审 (最 少 一 年 评审 一 
次 )。 记 录 并 报告 能 影响 信息 安全 管理 体系 有 效 性 或 业绩 的 所 有 活动 事件 。 


4. A 措施 一 改进 


经 过 了 策划 ,实施 ,检查 之 后 ,组 织 在 措施 阶段 必须 对 所 策划 的 方案 给 以 结论 ,是 应 该 继 
续 执 行 ,还 是 应 该 放弃 重新 进行 新 的 策划 ? 当然 ,该 循环 给 管理 体系 带 来 明显 的 业绩 提升 ， 
组 织 可 以 考虑 是 否 将 成 果 扩 大 到 其 他 的 部 门 或 领域 ,这 就 开始 了 新 一 轮 的 PDCA 循环 。 在 
这 个 过 程 中 ,组 织 可 能 持续 地 进行 以 下 操作 : 测量 信息 安全 管理 体系 满足 安全 方针 和 目标 
方面 的 业绩 。 识 别 信 息 安 全 管理 体系 的 改进 ,并 有 效 实施 。 采 取 适 当 的 纠正 和 预防 措施 。 
沟通 结果 及 活动 ,并 与 所 有 相关 方 磋商 。 必 要 时 修订 信息 安全 管理 体系 ,确保 修订 达到 预期 
的 目标 。 在 这 个 阶段 需要 注意 的 是 ,很 多 看 起 来 单纯 的 、 孤 立 的 事件 ,如 果 不 及 时 处 理 就 可 
能 对 整个 组 织 产 生 影响 ,所 采取 的 措施 不 仅 具 有 直接 的 效果 ,还 可 能 带 来 深远 的 影响 。 组 织 
需要 把 措施 放 在 信息 安全 管理 体系 持续 改进 的 大 背景 下 ,以 长 远 的 眼光 来 打算 ,确保 措施 不 
仅 致力 于 眼前 的 问题 ,还 要 杜绝 类 似 事故 再 发 生 或 者 降低 其 再 放生 的 可 能 性 。 

不 符合 、 纠 正 措施 和 预防 措施 是 本 阶段 的 重要 概念 。 

(1) 不 符合 。 是 指 实施 、 维 持 并 改进 所 要 求 的 一 个 或 多 个 管理 体系 要 素 缺 乏 或 者 失效 ， 
或 者 是 在 客观 证 据 基础 上 ,信息 安全 管理 体系 符合 安全 方针 以 及 达到 组 织 安全 目标 的 能 力 
存在 很 大 不 确定 性 的 情况 。 

(2) 纠正 措施 。 组 织 应 确定 措施 ,以 消除 信息 安全 管理 体系 实施 .运作 和 使 用 过 程 中 不 
符合 的 原因 ,防止 再 发 生 。 组 织 的 纠正 措施 的 文件 化 程序 应 该 规定 以 下 方面 的 要 求 : 识别 
信息 安全 管理 体系 实施 .运作 过 程 中 的 不 符合 ; 确定 不 符合 的 原因 ; 评价 确保 不 符合 不 再 
发 生 的 措施 要 求 ; 确定 并 实施 所 需 的 纠正 措施 ; 记录 所 采取 措施 的 结果 ; 评审 所 采取 措施 
的 有 效 性 。 

(3) 预防 措施 。 组 织 应 确定 措施 ,以 消除 潜在 不 符合 的 原因 ,防止 其 发 生 。 预 防 措施 应 
与 潜在 问题 的 影响 程度 相 适 应 。 预 防 措施 的 文件 化 程序 应 该 规定 以 下 方面 的 要 求 : 识别 潜 
在 不 符合 及 其 原因 ; 确定 并 实施 所 需 的 预防 措施 ; 记录 所 采取 措施 的 结果 ; 评审 所 采取 的 
预防 措施 ; 识别 已 变化 的 风险 ,并 确保 对 发 生 重大 变化 的 风险 予以 关注 。 


6.1.3 其 他 信息 安全 管理 标准 


信息 安全 管理 标准 是 构建 ISMS 的 依据 之 一 。 它 不 仅 提 供 了 ISMS 的 具体 建立 方法 ， 
还 提供 了 各 种 安全 技术 和 控制 措施 。 目 前 ,很 多 国家 和 组 织 都 提出 了 自己 的 信息 安全 标准 。 
这 些 标准 就 信息 安全 管理 讨论 的 重点 各 不 相同 ,而 且 应 用 的 领域 也 不 一 样 。 下 面 对 
BS7799 .COBIT .GMITS 和 GB 17859 一 1999 做 简单 的 介绍 。 


1. COBIT 标准 


COBIT(Control Objectives for Information and Related Technology) 是 一 个 信息 技术 
管理 模型 , 它 可 以 帮助 人 们 了 解 并 管理 与 信息 技术 相关 的 风险 。1996 年 ,信息 系统 审计 与 
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控制 基金 会 (ISACF) 颁 布 了 COBIT 第 一 版 ,随后 又 颁布 了 第 二 版 ,现在 使 用 的 是 由 信息 技 
术 管 理 研究 所 颁布 的 COBIT 第 三 版 。COBIT 第 三 版 由 6 部 分 组 成 : 框架 、 执 行 摘要、 控制 
目标 、 执 行 工具 集 、 管 理 指南 和 审计 指南 。 

1) 体系 结构 

COBIT 是 以 组 织 的 业务 目标 为 核心 ,为 组 织 提供 其 他 所 需 的 信息 ,同时 平衡 信息 技术 
领域 的 投资 与 风险 ,把握 技术 发 展 带 来 的 机 会 ,以 达到 利益 最 大 和 机 会 资本 化 ,获取 竞争 优 
势 。 为 了 实现 这 些 目标 ,COBIT 采用 了 层次 结构 的 方法 ,把 IT 过 程 按 其 性 质 划分 为 
4 个 域 : 

(1) 计划 和 组 织 。 该 域 涵盖 了 实施 IT 的 战略 与 策略 ,判别 哪些 IT 策略 最 有 助 于 业务 
目标 的 实现 。 应 设置 何 种 组 织 结构 ,建立 何 种 技术 基础 结构 ,如 何 对 IT 策略 的 实现 进行 计 
划 ,协调 与 管理 。 

(2) 获取 和 实施 。 为 了 实现 IT 战略 ,如 何 定义 .开发 .获取 、 实 施 IT 解决 方案 ,并 把 

一 方案 集成 到 业务 过 程 中 。 如 何 解决 系统 的 变迁 与 维护 ,以 使 系统 的 生命 周期 得 以 
延续 。 

(3) 交付 和 支持 。 该 域 涵盖 系统 交付 所 需 的 服务 ,包括 操作 安全 性 、 连 续 性 、 人 员 培 训 
以 及 需 建立 的 支持 过 程 ,还 包括 实际 数据 处 理 ,通常 按 应 用 控制 进行 分 类 。 

(4) 监控 。 评 估 IT 过 程 质量 ,评估 IT 过 程 与 控制 需求 相符 的 程度 。 

在 4 个 域 下 定义 了 34 个 高 层 控制 目标 ;每 个 高 层 控制 目标 下 又 定义 了 游 二 具体 的 子 目 
标 ,共计 318 个 控制 子 目 标 。 这 4 个 域 围绕 着 一 个 目的 一 一 及 时 提供 业务 所 需 的 准确 信息 ， 
但 信息 的 提供 依赖 于 IT 资源 ,同时 所 提供 的 信息 也 应 有 一 定 的 衡量 标准 。 这 样 ,组 织 在 进 
行 IT 管理 时 ,必然 从 IT 过 程 , 信 息 标准 、IT 资源 三 个 维度 来 综合 考虑 。COBIT 给 出 了 这 
样 一 个 综合 考虑 的 框架 ,同时 对 如 何 评价 IT 过 程 给 出 了 测度 和 标准 。 图 6-1 描述 了 
COBIT 的 体系 结构 。 其 中 COBIT 把 信息 标准 定义 为 7 种: 有 效 性 ,效率 、 机 密 性 、 完 整 性 、 
可 用 性 一致 性 和 可 靠 性 ; IT 资源 定义 为 5 类: 人 员 , 应 用 技术、 设施 和 数据 。 
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图 6-1 COBIT 的 体系 结构 
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2) 等 级 划分 

COBIT 的 管理 指南 中 给 出 了 度量 IT 过 程 的 指标 体系 ,度量 的 尺度 以 及 度量 的 基准 点 。 
COBIT 从 两 个 层次 来 定义 度量 的 基准 点 。 首 先 , 它 定义 一 般 的 成 熟 度 模 型 (MM) ,以 及 关 
键 成 功 因素 (CSF) ,关键 目标 指标 (KGD ,关键 性 能 指标 (KPI) 的 概念 。 然 后 ,针对 34 个 IT 
过 程 , 分 别 定 义 了 它们 的 成 熟 度 模型 .关键 目标 指标 和 关键 性 能 指标 。 

模仿 软件 工程 中 的 CMM 模型 ,COBIT 提供 了 衡量 IT 过 程 的 成 熟 度 模型 。 该 模型 把 
IT 过 程 的 管理 划分 为 0 一 5 级 共 6 个 级 别 : 

(1) 不 存在 级 (0 级 ) 。 组 织 尚未 意识 到 要 进行 IT 过 程 管理 。 

(2) 初始 级 (1 级 ) 。 组 织 已 经 意识 到 IT 过 程 中 存在 的 问题 ,但 是 没有 标准 化 的 IT 过 
程 ,个 别 案例 中 采用 了 一 些 特殊 的 方法 ,但 不 适用 于 全 局 。 

(3) 可 重复 级 (2 级 )。 从 事 同 一 项 IT 工作 的 不 同 的 人 采用 类 似 的 IT 过 程 ,但 这 是 自 
发 的 ,没有 对 标准 过 程 进 行 正规 培训 。 工 作 责任 由 个 人 承担 ,对 个 人 的 知识 水 平 高 度 依赖 ， 
因此 可 能 出 现 不 可 预测 的 错误 。 

(4) 定义 级 (3 级 )。IT 过 程 已 被 标准 化 和 文档 化 ,并 对 人 员 进 行 了 培训 ,但 每 个 人 进行 
的 处 理 存在 难以 察觉 的 偏差 。IT 过 程 是 现存 惯例 的 形式 化 体系 ,本 身 并 不 完善 。 

(5) 管理 级 (4 级 )。 监 控 和 测定 IT 过 程 是 否 与 规范 一 致 ,并 可 以 采取 措施 调节 无 效 的 
规范 。IT 过 程 不 断 完善 ,好 的 惯例 不 断 出 现 。 但 自动 化 工具 的 使 用 是 有 限 和 局 部 的 。 

(6) 优化 级 (5 级 )。 基 于 IT 过 程 的 持续 完善 和 其 他 组 织 的 成 熟 模型 ,IT 过 程 已 被 提炼 
到 最 切实 际 的 状态 。IT 过 程 与 业务 流程 完美 结合 ,使 用 高 质 、 高 效 的 自动 化 工具 ,组 织 对 外 
界 具 有 更 快 的 适应 能 力 。 

上 述 模型 是 一 个 渐进 的 模型 ,上 一 级 对 下 一 级 的 改善 是 : 对 风险 和 控制 问题 的 理解 和 
认识 ; 适用 于 该 问题 的 培训 和 交流 ; IT 过 程 采 用 的 惯例 ; 使 IT 过 程 具有 更 有 效 ,高效 的 自 
动 控制 技术 ; 与 规范 的 一 致 程度 ; 应 用 专业 技能 的 类 型 和 范围 。 


2. GMITS 标准 


GMITS 即 ISOVIEC 13335《IT 安全 管理 方针 》, 是 现在 国际 上 通用 的 IT 安全 管理 标 
准 , 可 以 作为 ISO/IEC 17799 的 替代 。GMITS 旨 在 为 IT 安全 管理 提供 指导 而 不 是 解决 方 
案 。 它 的 主要 目标 如 下 : 定义 并 描述 了 有 关 IT 安全 管理 的 概念 ; 明确 通常 的 IT 管理 和 IT 
安全 管理 之 间 的 关系 ; 提出 了 几 种 用 于 解释 IT 安全 的 模型 。 对 IT 安全 管理 提供 了 通用 的 
指导 。 

GMITS 由 如 下 5 个 部 分 组 成 : 

(1) ISO/IEC 13335 一 1: 1996《IT 安全 的 概念 与 模型 ) 第 一 部 分 描述 了 在 IT 安全 管理 
领域 内 的 各 种 主题 ,并 对 基本 IT 安全 概念 和 模型 进行 了 简单 的 介绍 。 该 部 分 适用 于 对 组 
织 信 息 安 全 负 有 责任 的 高 层 管理 者 。 

(2) ISO/IEC 13335 一 2: 1997《IT 安全 管理 和 计划 制定 ?第 二 部 分 对 IT 安全 管理 的 整 
个 过 程 进 行 了 概述 ,并 提出 了 与 IT 安全 管理 和 计划 相关 的 各 种 活动 ,以 及 组 织 中 与 此 相关 
的 角色 和 职责 。 该 部 分 适用 于 负责 管理 组 织 的 IT 系统 的 人 员 。 

(3) ISO/IEC 13335 一 3: 1998《IT 安全 管理 技术 ) 第 三 部 分 描述 了 在 一 个 项 目的 生命 周 
期 中 适用 于 各 项 管理 活动 的 安全 技术 ,例如 计划 、 设 计 、 实 施 、 测 试 、 获 得 或 操作 。 这 些 方 法 
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可 以 用 于 评估 安全 需求 和 风险 ,有 助 于 维持 适合 的 安全 保护 措施 , 即 纠 正 IT 安全 水 平 。 

(4) ISO/IEC 13335 一 4: 2000《 安 全 措施 的 选择 ) 第 四 部 分 对 安全 措施 的 选择 和 如 何 协 
调 使 用 基线 模型 与 控制 措施 提供 了 指导 。 它 给 出 了 选择 安全 保护 措施 的 依据 : IT 系统 的 
类 型 和 特点 、 安 全 事件 的 影响 和 对 威胁 的 广泛 评估 ,详细 风险 分 析 评 估 的 结果 。 该 部 分 描述 
了 生成 组 织 的 基线 安全 手册 的 方法 ,并 指出 如 何 补充 在 第 三 部 分 中 提 到 的 安全 技术 的 不 足 ， 
以 及 如 何 对 已 经 选择 的 安全 措施 进行 评估 。 

(5) ISO/IEC 13335 一 5: 2000《 网 络 安全 管理 方针 ) 第 五 部 分 为 一 个 组 织 的 IT 系统 与 
外 网 进行 连接 提供 了 指导 。 包 括 选择 和 使 用 安全 措施 以 保证 连接 的 安全 性 和 这 些 连 接 所 支 
持 的 服务 的 安全 性 ; 对 被 连接 的 IT 系统 提供 额外 的 安全 措施 。 


6.1.4 信息 安全 管理 模型 


信息 安全 管理 模型 是 对 信息 安全 管理 的 一 个 抽象 化 描述 。 它 是 组 织 建立 安全 管理 体系 
的 基础 。 目 前 ,在 对 安全 理论 、 安 全 技术 和 安全 标准 研究 的 基础 上 ,不 同 的 组 织 都 提出 了 相 
应 的 信息 安全 管理 模型 。 这 些 模 型 的 侧重 点 不 同 , 信 息 安 全 的 管理 方式 也 不 同 。 


1. 安全 体系 模型 


OSI 安全 体系 结构 的 研究 始 于 1982 年 。1989 年 制定 了 一 系列 特定 安全 服务 的 标准 ， 
其 成 果 标志 是 ISO 发 布 的 ISO 7498 一 2 标准 。 该 标准 的 基础 是 安全 体系 模型 ,包括 三 方面 
的 内 容 : 

(1) 安全 服务 。 包 括 认 证 服务 、 访 问 控制 服务 数据 保 密 服 务 、 数 据 完 整 服务 和 抗 抵赖 
服务 。 

(2) 安全 机 制 。 包 括 加 密 机 制 ,数字 签名 机 制 ,访问 控 制 机 制 ,数据 完整 机 制 、 鉴 别 交换 
机 制 . 业 务 流 填充 机 制 .路 由 控制 机 制 和 公正 机 制 等 。 

(3) 安全 管理 。 通 过 实施 一 系列 安全 政策 ,对 系统 和 网 络 上 的 操作 进行 管理 ,包括 系统 
安全 管理 ,安全 服务 管理 和 安全 机 制 管理 。 


2. PDRR 模型 


PDRR(Protection Detection Response Recovery) 是 一 个 比较 成 熟 的 网 络 安全 模型 ,可 
以 用 于 信息 安全 管理 。 该 模型 由 防御 、 检 测 、 响 应 \ 恢 复 组 成 了 一 个 动态 的 信息 安全 周期 。 
安全 政策 的 每 一 部 分 包括 一 组 安全 单元 来 实现 一 定 的 安全 功能 。 安 全 策略 的 第 一 部 分 是 防 
御 。 根 据 系 统 已 知 的 所 有 的 安全 问题 做 出 防御 措施 ,如 打 补 丁 \ 访 问 控制 数据 加 密 等 。 安 
全 策略 的 第 二 部 分 就 是 检测 。 攻 击 者 如 果 穿 过 了 防御 系统 ,检测 系统 就 会 检测 出 来 。 这 个 
安全 战线 的 功能 就 是 检测 出 入 侵 者 的 身份 ,包括 攻击 源 、 系 统 损失 等 。 一 旦 检测 出 入 侵 , 响 
应 系统 开始 响应 ,包括 事件 处 理 和 其 他 业务 。 安 全 策略 的 最 后 一 个 战线 是 系统 恢复 。 在 入 
侵 事 件 发 生 后 ,把 系统 恢复 到 原来 的 状态 ,如 图 6-2 所 示 。 


3. 信息 安全 管理 PDCA 持续 改进 模式 


该 模型 的 结构 如 图 6-3 所 示 。P 一 策划 : 根据 组 织 的 商务 运作 需求 (包括 顾客 的 信息 安 
全 要 求 ) 及 有 关 法 律 法 规 要 求 ,确定 安全 管理 范围 与 策略 ,通过 风险 评估 建立 控制 目标 与 方 


6-2 PDRR 模型 


式 , 包 括 必要 的 过 程 与 商务 持续 性 计划 。D 一 实施 : 实施 过 程 , 即 组 织 要 按照 组 织 的 策略 , 程 
序 ,规章 等 规定 的 要 求 , 也 就 是 按照 所 选 定 的 控制 目标 与 方式 进行 信息 安全 控制 。C 一 检 
查 : 根据 策略 .目标 ,安全 标准 即 法 律 法 规 要 求 , 对 安全 管理 过 程 和 信息 系统 的 安全 进行 监 
视 与 验证 ,并 报告 结果 。A 一 行动 : 对 策略 适宜 性 评审 与 评估 ,评价 ISMS 的 有 效 性 ,采取 措 
施 ,持续 改进 。 


4. HTP 信息 安全 模型 


该 模型 (如 图 6-4 所 示 ) 由 三 部 分 组 成 : 人 员 与 管理 (Human and Management) ,技术 与 
产品 (Technology and Products) ,流程 与 体系 (Process and Framework)。 


体系 建设 过 程 


图 6-3 信息 安全 管理 PDCA 持续 改进 模式 图 6-4 HTP 信息 安全 模型 


(1) 人 员 与 管理 。 从 国家 的 角度 考虑 ,有 法 律 .法规 \ 政 策 问题 ; 从 组 织 角度 考虑 ,有 安 
全 方针 政策 程序 、 安 全 管理 .安全 教育 与 培训 、 组 织 文 化 \ 应 急 计划 和 持续 性 管理 等 问题 。 人 
是 信息 安全 最 活跃 的 因素 ,人 的 行为 是 信息 安全 保障 要 求 的 方面 。 从 个 人 角度 来 看 有 职业 
要 求 . 个 人 隐私 ,行为 学 、 心 理学 等 问题 。 

(2) 技术 与 产品 。 组 织 可 以 依据 “适度 防范 ”原则 综合 采用 商用 密码 、 防 火 墙 、 防 病毒 、 
身份 识别 、 网 络 隔离 .可 信和 服务、 安全 服务 备份 恢复 .PKI 服务 、 取 证 、 网 络 入 侵 陷阱 ,主动 反 
击 等 多 种 技术 与 产品 来 保护 信息 系统 安全 。 

(3) 流程 与 体系 。 组 织 应 当 遵 循 国内 外 相关 信息 安全 标准 与 最 佳 实践 过 程 , 组 织 应 满 
足 信息 安全 的 各 个 层面 的 实际 需求 ,在 风险 分 析 的 基础 上 引入 恰当 控制 ,建立 合理 的 安全 管 
理 体系 ,从 而 保证 组 织 赖 以 生存 的 信息 资产 的 安全 性 、 完 整 性 和 可 用 性 。 


5. 适应 性 网 络 安全 模型 


美国 互联 网 安全 系统 公司 (ISS) 基 于 P2DR 提出 了 适应 性 网 络 安全 模型 (Adaptive 
Network Security Model,ANSM) 。 具 体 模型 用 PADIMEE 来 描述 。 该 公司 通过 对 技术 和 
业务 需求 分 析 及 对 客户 信息 安全 “生命 周期 "考虑 ,在 7 个 方面 体现 信息 系统 安全 的 持续 循 
环 : 策略 (Policy)、 评 估 (Assessment)、 设 计 (Design)、 执 行 (Implementation)、 管 理 
(Management)、 紧 急 响 应 (Emergency Response) 和 教育 (Education)。 


6. 信息 安全 保障 框架 模型 


中 国 科学 院 信息 安全 国家 重点 实验 室 的 赵 战 生 教 授 在 一 次 信息 安全 会 议 中 ,给 出 了 一 
个 信息 安全 保障 框架 模型 ,在 PDRR 模型 的 基础 上 ,前 面 加 上 W(warning) ,后 面 加 上 一 个 
Clcounterattack) ,反映 了 6 大 能 力 ,分别 是 预警 能 力 \ 保 护 能 力 、 检 测 能 力 、 反 应 能 力 、 恢 复 
能 力 和 反击 能 力 。 


6.1.5 构建 信息 安全 管理 体系 方法 
要 构建 一 个 有 效 的 信息 安全 管理 体系 ,可 以 采取 如 下 方式 
1. 建立 信息 安全 管理 框架 


信息 安全 管理 框架 的 搭建 必须 按照 适当 的 程序 来 进行 。 首 先 ,各 个 组 织 应 该 根据 自身 
的 状况 来 搭建 适合 自身 业务 发 展 和 信息 安全 需求 的 信息 安全 管理 框架 ,并 在 正常 的 业务 开 
展 过 程 中 具体 实施 构架 的 信息 安全 管理 体系 。 同 时 在 信息 安全 管理 体系 的 基础 上 ,建立 各 
种 与 信息 安全 管理 框架 相 一 致 的 相关 文档 文件 ,并 对 其 进行 严格 的 管理 。 对 在 具体 实施 信 
息 安全 管理 体系 过 程 中 出 现 的 各 种 信息 安全 事件 和 安全 状况 进行 严格 的 记录 ,并 建立 严格 
的 反馈 流程 和 制度 。 

1) 定义 信息 安全 政策 

组 织 应 制定 信息 安全 策略 (Information Security Policy) 以 对 组 织 的 信息 安全 提供 管理 
方向 与 支持 。 组 织 不 仅 要 有 一 个 总 体 的 安全 策略 ,而 且 在 总 体 策略 的 框架 内 ,根据 风险 评估 
的 结果 制定 更 加 具体 的 安全 方针 ,明确 规定 具体 的 控制 规则 ,如 “清理 桌面 和 清楚 屏幕 策 
略 ”“ 访 问 控制 策略 ”等 。 

对 于 一 个 规模 小 的 组 织 单位 ,可 能 只 有 一 个 信息 安全 政策 ,并 适用 于 组 织 内 部 所 有 部 门 
和 员工 ; 在 大 型 的 组 织 中 ,有 了 时 需要 根据 组 织 内 各 个 部 门 的 实际 情况 ,分 别 制订 不 同 的 信息 
安全 政策 ; 如 果 组 织 是 一 个 集团 公司 , 则 需要 制订 一 个 信息 安全 政策 丛书 ,分 别 适用 于 不 同 
的 子 公司 或 各 分 支 机 构 。 但 是 ,无 论 如 何 , 信 息 安全 政策 应 该 简单 明了 ,通俗 易 仅 ,并 直 指 主 
题 ,避免 将 组 织 内 所 在 层面 的 安全 方针 全 部 揉 在 一 个 政策 中 ,使 人 不 知 所 云 。 

信息 安全 政策 是 组 织 信息 安全 的 最 高 方针 ,必须 形成 书面 文件 ,广泛 散发 到 组 织 内 所 有 
员工 手中 ,并 要 对 所 有 相关 员工 进行 信息 安全 政策 的 培训 ,对 信息 安全 负 有 特殊 责任 的 人 员 
要 进行 特殊 的 培训 ,以 使 信息 安全 方针 真正 植 根 于 组 织 内 所 有 员工 的 脑海 并 落实 到 实际 工 
作 中 。 
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2) 定义 ISMS 的 范围 

即 在 组 织 内 选 定 在 大 范围 内 构架 ISMS。 一 个 单位 现 有 的 组 织 结构 是 定义 ISMS 范围 
需要 考虑 的 最 重要 的 方面 ,组 织 可 能 会 根据 自己 的 实际 情况 ,只 在 相关 的 部 门 或 领域 构架 
ISMS。 所 以 ,在 信息 安全 范围 定义 阶段 ,应 将 组 织 划分 成 不 同 的 信息 安全 控制 领域 ,以 易于 
组 织 对 有 不 同 需 求 的 领域 进行 适当 的 信息 安全 管理 。 

组 织 要 根据 组 织 的 特性 、 地 理 位 置 资产 和 技术 对 信息 安全 管理 体系 范围 (Scope) 进 行 
界定 。 组 织 信息 安 全 管理 体系 范围 包括 以 下 项 目 : 需 保护 的 信息 系统 资产 ,技术 、 实 物 场 
所 (地 理 位置 .部 门 ) 。 

3) 进行 信息 安全 风险 评估 

组 织 需要 选择 一 个 适合 其 安全 要 求 的 风险 评估 和 管理 方案 ,然后 进行 合乎 规范 的 评估 ， 
识别 目前 面临 的 风险 及 风险 等 级 。 风 险 评估 的 对 象 是 组 织 的 信息 资产 ,评估 考虑 的 因素 包 
括 资 产 所 受 的 威胁 、 薄 弱点 及 威胁 发 生 后 对 组 织 的 影响 。 无 论 采 用 何 种 风险 评估 工具 方法 ， 
其 最 终 评估 结果 应 是 一 致 的 。 信 息 安 全 风险 评估 的 复杂 程度 将 取决 于 风险 的 复杂 程度 和 受 
保护 资产 的 敏感 程度 ,所 采用 的 评估 措施 应 该 与 组 织 对 信息 资产 风险 的 保护 需求 相 一 致 。 
具体 有 三 种 风险 评估 方法 可 供 选 择 。 

方法 一 : 基本 风险 评估 。 是 参照 标准 所 列举 的 风险 对 组 织 资产 进行 风险 评估 的 方法 。 
标准 罗列 了 一 些 常 见 信息 资产 所 面 对 风 险 及 其 管制 要 点 ,这 些 要 点 对 一 些 中 小 企业 (如 业务 
性 质 较 简单 、 对 信息 处 理 和 计算 机 网 络 依赖 不 强 或 者 并 不 从 事 外 向 型 经 营 的 企业 ) 来 说 已 经 
足够 ,但 对 于 不 同 的 组 织 ,基本 风险 评估 可 能 会 存在 一 些 问题 。 一 方面 ,如 果 组 织 安全 等 级 
设置 太 高 ,对 一 些 风 险 的 管制 措施 的 造价 将 会 太 昂贵 ,并 可 能 使 日 常 操作 受到 过 分 的 限制 。 
但 如 果 定 得 太 低 , 则 可 能 对 一 些 风 险 的 管制 力度 不 够 。 另 一 方面 ,可 能 会 使 与 信息 安全 管理 
有 关 的 调整 比较 困难 ,因为 在 信息 安全 管理 系统 被 更 新 .调整 时 ,可 能 很 难 去 评估 原先 的 管 
制 措施 是 否 仍然 满足 现行 的 安全 需求 。 

方法 二 : 详细 风险 评估 。 即 先 对 组 织 的 信息 资产 进行 详细 划分 并 赋值 ,再 具体 针对 不 
同 信息 资产 所 面 对 的 不 同 的 风险 ,详细 划分 对 这 些 资 产 造成 的 威胁 的 等 级 和 相关 的 脆弱 性 
等 级 ,并 利用 这 些 信 息 评估 系统 存在 的 风险 的 大 小 来 指导 下 一 步 管制 措施 的 选择 。 一 个 组 
织 对 安全 风险 研究 得 越 精确 ,安全 需求 也 就 越 明 确 。 与 基本 风险 评估 相 比 ,详细 风险 评估 将 
花费 更 多 的 时 间 和 精力 ,有 时 需要 专业 技术 知识 和 外 部 组 织 的 协助 才能 获得 评估 结果 。 

方法 三 : 基本 风险 评估 和 详细 风险 评估 相 结 合 。 首 先 利 用 基本 风险 评估 方法 鉴别 出 在 
信息 安全 管理 系统 范围 内 存在 的 潜在 高 风险 或 者 对 组 织 商业 动作 至 关 重 要 的 资产 。 其 次 ， 
将 信息 安全 管理 系统 范围 内 的 资产 分 为 两 类 : 一 类 是 需要 特殊 对 待 的 , 另 一 类 是 一 般 对 待 
的 。 对 特殊 对 待 的 信息 资产 使 用 详细 风险 评估 方法 ,对 一 般 对 待 的 信息 资产 使 用 基本 风险 
评估 方法 。 两 种 方法 的 结合 可 将 组 织 的 费用 和 资源 用 于 最 有 益 的 方面 。 但 也 存在 着 一 些 缺 
点 ,如 果 在 对 高 风险 的 信息 系统 的 鉴别 有 误 时 ,将 会 导致 不 精确 的 结果 ,从 而 将 会 对 组 织 的 
某 些 重要 信息 资产 的 保护 失去 效果 。 

组 织 在 进行 信息 资产 风险 评估 时 ,必须 将 直接 后 果 和 潜在 后 果 一 并 考虑 。 对 ISMS 范 
围 内 的 信息 资产 进行 鉴定 和 估价 ,然后 对 信息 资产 面 对 的 各 种 威胁 和 脆弱 性 进行 评估 ,同时 
对 已 存在 的 或 规划 的 安全 管制 措施 进行 鉴定 。 风 险 评估 主要 依赖 于 商业 信息 和 系统 的 性 
质 、 使 用 信息 的 商业 目的 .所 采用 的 系统 环境 等 。 


4) 信息 安全 风险 管理 

组 织 应 根据 信息 安全 策略 和 所 要 求 的 安全 程度 ,识别 所 要 管理 的 风险 内 容 。 控 制 风险 
包括 识别 所 需 的 安全 措施 ,通过 降低 、 避 免 .转移 将 风险 降 至 可 接受 的 水 平 。 风 险 随 着 过 程 
的 更 改 、 组 织 的 变化 ,技术 的 发 展 及 新 出 现 的 潜在 威胁 而 变化 。 

在 考虑 转嫁 风险 前 ,应 首先 考虑 采取 措施 降低 风险 。 有 些 风险 很 容易 避免 ,例如 通过 采 
用 不 同 的 技术 ,更 改 操作 流程 .采用 简单 的 技术 措施 等 。 通 常 只 有 当 风险 不 能 被 降低 或 避 
免 , 且 被 第 三 方 (被 转嫁 方 ) 接 受 时 才 被 采用 。 一 般 用 于 那些 低 概率 ,但 一 旦 风险 发 生 会 对 组 
织 产生 重大 影响 的 风险 。 用 于 寻找 在 采取 了 降低 风险 和 避免 风险 措施 后 ,出 于 实际 和 经 
方面 的 原因 ,只 要 组 织 进行 运营 ,就 必须 存在 并 必须 接受 的 风险 。 

5) 确定 管理 目标 和 选择 管制 措施 

管制 目标 的 确定 和 管制 措施 的 选择 原则 是 费用 不 超过 风险 所 造成 的 损失 。 但 应 注意 有 
些 风险 的 后 果 并 不 能 用 金钱 衡量 (如 商 誉 的 损失 等 )。 由 于 信息 安全 是 一 个 动态 的 系统 工 
程 ,组 织 应 时 时 对 选择 的 管理 目标 和 管制 措施 加 以 校 验 和 调整 ,以 适应 变化 了 的 情况 ,使 组 
织 的 信息 资产 得 到 有 效 经济、 合理 的 保护 。 

风险 评估 之 后 ,组 织 应 从 已 有 信息 安全 技术 中 选择 适当 的 控制 方法 ,包括 额外 的 控制 
(组 织 新 增加 的 和 法 律 法 规 所 要 求 的 ) ,降低 已 识别 的 风险 。 

6) 准备 信息 安全 适用 性 申明 

信息 安全 适用 性 申明 记录 了 组 织 内 相关 的 风险 管制 目标 和 针对 每 种 风险 所 采用 的 各 种 
控制 措施 。 信 息 安全 适用 性 申明 的 准备 ,一 方面 是 为 了 向 组 织 内 的 员工 申明 对 信息 安全 面 
对 的 风险 的 态度 ,在 更 大 程度 上 则 是 为 了 向 外 界 表明 组 织 的 态度 和 作为 ,以 表明 组 织 已 经 全 
面 、 系 统 地 审视 了 组 织 的 信息 安全 系统 ,并 将 所 有 有 必要 管制 的 风险 控制 在 能 够 被 接受 的 范 
围 内 ; 男 一 方面 也 是 为 了 向 外 界 表明 组 织 的 态度 和 作为 。 


2. 具体 实施 构架 的 ISMS 


ISMS 管理 框架 的 建设 只 是 建设 ISMS 的 第 一 步 。 在 具体 实施 ISMS 的 过 程 中 ,还 必须 
充分 考虑 其 他 方面 的 因素 ,如 实施 的 各 项 费用 因素 (培训 费 、 报 告 费 等 ) .与 组 织 员工 原 有 工 
作 习 惯 的 冲突 ,不 同 部 门 / 机 构 之 间 在 实施 过 程 中 的 相互 协作 问题 等 。 

组 织 要 按照 所 选择 的 控制 目标 和 控制 方式 进行 有 效 的 安全 控制 , 即 按照 策略 ,程序 等 要 
求 展开 信息 处 理 、 安 全 管理 等 各 项 活动 。 实 施 的 有 效 性 包括 两 方面 的 含义 : 一 是 控制 活动 
应 严格 按 要 求 执行 ; 二 是 活动 的 结果 应 达到 预期 的 目标 要 求 , 即 风 险 控制 的 结果 是 可 接 


受 的 。 
3. 建立 相关 文档 


在 ISMS 建设 .实施 的 过 程 中 ,必须 建立 起 各 种 相关 的 文档 、 文 件 。 例 如 ,ISMS 管理 范 
围 中 所 规定 的 文档 内 容 、 对 管理 框架 的 总 结 ( 包 括 信息 安全 政策 ,管理 目标 和 在 适用 性 申明 
时 所 提出 的 控制 措施 ) 、 在 ISMS 管理 范围 中 规定 的 管制 采取 过 程 .ISMS 管理 和 具体 操作 的 
过 程 (包括 IT 服务 部 门 、 系 统管 理 员 、 网 络 管理 员 ,现场 管理 员 、IT 用 户 以 及 其 他 人 员 的 职 
责 描述 和 相关 的 活动 事项 ) 等 。 文档 可 以 以 各 种 形式 保存 ,但 是 必须 划分 不 同 的 等 级 或 类 
型 。 同 时 ,为 了 今后 的 信息 安全 认证 工作 的 顺利 进行 ,文档 必须 能 很 容易 地 被 指定 的 第 三 方 
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(例如 认证 审核 员 ) 访 问 和 理解 。 信 息 安全 管理 体系 的 文档 层次 结构 如 图 6-5 所 示 。 
在 建立 起 各 种 文档 之 后 ,组 织 还 必须 对 它 进行 严格 

的 管理 ,并 结合 组 织 业 务 和 规模 的 变化 ,对 文档 进行 有 规 策略 

律 ,周期 性 的 回顾 和 修正 。 当 某 些 文档 不 再 适合 组 织 的 


策略 手册 
信息 安全 策略 需求 时 ,就 必须 将 其 废止。 
程序 
4. 文档 的 严格 管理 
作业 指导 书 
组 织 必须 对 各 种 文档 进行 严格 的 管理 ,结合 业务 和 
记 


规模 的 变化 ,对 文档 进行 有 规律 .周期 性 的 回顾 和 修正 。 
当 某 些 文档 不 再 适合 组 织 的 信息 安全 政策 需要 时 ,就 必 
须 将 其 废弃 。 但 由 于 法 律 或 知识 产权 方面 的 原因 ,组 织 
可 以 将 相应 文档 确认 后 保留 。 


5. 安全 事件 记录 回馈 


6-5 文档 层次 结构 


必须 对 在 实施 ISMS 的 过 程 中 发 生 的 各 种 与 信息 安全 有 关 的 事件 进行 全 面 的 记录 。 安 
全 事件 的 记录 为 组 织 进行 信息 安全 政策 定义 、 安 全 管理 措施 的 选择 等 的 修正 提供 了 现实 的 
依据 。 安 全 事件 记录 必须 清晰 ,明确 记录 每 个 相关 人 员 当 时 的 活动 。 安 全 事件 记录 必须 适 
当 保 存 ( 可 以 以 书面 或 电子 的 形式 保存 ) 并 进行 维护 ,使 得 当 记录 被 破坏 损坏 或 丢失 时 容易 
挽救 。 


€.3 信息 安全 运行 管理 


本 节 将 介绍 信息 系统 安全 运行 管理 ,信息 安 全 事件 管理 \ 信 息 安全 事件 分 类 分 级 和 信息 
安全 灾难 恢复 。 


6.2.1 信息 系统 安全 运行 管理 


随 着 通信 业务 越 来 越 依赖 于 网 络 和 信息 系统 ,网 络 与 信息 的 安全 性 也 日 益 重 要 。 但 是 
目前 在 网 络 与 信息 安全 的 管理 上 仍然 存在 不 足 ,无 论 是 管理 模式 还 是 技术 手段 ,都 不 能 很 好 
地 适应 业务 发 展 对 网 络 和 信息 安全 提出 的 挑战 。 为 了 回应 这 一 挑战 ,必须 建设 信息 安全 运 
行 管理 系统 (SOC) ,进行 集中 统一 的 安全 运行 管理 ,并 从 运行 层面 支撑 信息 安全 管理 体系 的 
实现 。 围 绕 信息 以 及 信息 系统 的 整个 生命 周期 ,从 各 个 方面 提供 安全 管理 手段 ,帮助 提高 信 
息 安 全 管理 水 平 ,适应 业务 发 展 的 需要 。 同 时 ,信息 安全 运行 管理 系统 还 可 以 为 国家 信息 安 
全 应 急 响应 体系 建设 提供 技术 和 流程 上 的 支持 。 

2008 年 ,工业 和 信息 化 部 发 布 了 通信 行业 标准 (YD/T 1800 一 2008 信息 安全 运行 管理 
系统 总 体 架构 》。 信 息 安全 运行 管理 系统 的 技术 标准 体系 由 总 体 架构 和 相关 功能 规范 ,接口 
规范 组 成 。 总 体 架 构 定义 安全 运行 管理 系统 的 技术 架构 ; 功能 规范 定义 安全 运行 管理 系统 
各 项 功能 要 求 ; 接口 规范 定义 安全 运行 管理 系统 内 部 接口 和 外 部 接口 。 


1. 概念 术语 


(1) 安全 对 象 。 网 络 安全 工作 保护 的 企业 网 络 、 设 备 、 应 用 和 数据 称 为 安全 对 象 ,安全 
对 象 的 价值 不 仅仅 包括 其 采购 价值 ,还 包括 其 受 侵害 后 导致 的 企业 损失 。SOC 本 身 也 是 一 
种 安全 对 象 。 

(2) 安全 事件 。 由 计算 机 信息 系统 或 者 网 络 中 的 各 种 计算 机 设备 ,例如 主机 、 网 络 设 
备 \ 安 全 设备 等 发 现 并 记录 的 各 种 可 疑 活动 被 称 为 安全 事件 。 

(3) 安全 事故 。 安 全 事故 是 指 计算 机 信息 系统 或 网 络 的 硬件 .软件 .数据 因 非 法 攻击 或 
病毒 人 侵 等 安全 原因 而 遭 到 破坏 更改, 泄露 ,造成 系统 不 能 正常 运行 或 者 数据 机 密 性 、 完 整 
性 ,可 用 性 被 破坏 的 现象 。 安 全 事故 由 一 个 或 多 个 安全 事件 构成 。 

(4) 安全 策略 。 安 全 策略 是 各 种 论述 、 规 则 和 准则 的 集合 , 供 运 营 商 解释 怎样 使 用 网 络 
资源 、 怎 样 对 网 络 和 业务 进行 保护 。 从 用 户 的 角度 看 ,安全 策略 定义 了 一 个 合法 的 用 户 可 以 
做 什么 ,并 说 明 哪些 信息 需要 被 保护 。 

(5) 安全 基线 是 一 种 在 测量 、 计 算 或 定位 安全 水 平 的 基本 参照 。 

(6) 信息 安全 运行 管理 系统 是 实现 信息 安全 管理 体系 的 技术 支撑 平台 。 它 以 信息 以 及 
信息 系统 风险 管理 为 核心 ,为 安全 运营 和 管理 提供 支撑 。 


2. 信息 安全 运行 管理 系统 架构 


信息 安全 运行 管理 系统 是 对 信息 安全 管理 体系 (ISMS) 的 实现 提供 技术 支撑 ,协助 在 信 
息 和 信息 系统 整个 生命 周期 中 实现 安全 管理 方面 人 、 技 术 和 流程 的 结合 。 在 信息 安全 管理 
体系 (ISMS) 的 PDCA 循环 中 ,为 其 计划 (P) 阶 段 提 供 风 险 评 估 和 安全 策略 功能 ,为 执行 (D) 
阶段 提供 安全 对 象 风险 管理 以 及 流程 管理 功能 ,为 检查 (C) 阶 段 提 供 系统 安全 监控 \ 事 件 审 
计 、 残 余 风 险 评估 功能 ,为 改进 (A) 阶 段 提 供 安 全 事件 管理 功能 。 

信息 安全 运行 管理 系统 应 能 支持 分 布 式 部 署 .并 能 够 实现 分 安全 域 分 级 别管 理 。 应 能 
提供 以 下 功能 : 

(1) 安全 策略 管理 。 包 括 安全 策略 发 布 存储、 修订 以 及 对 安全 策略 的 符合 性 检查 等 。 

(2) 安全 事件 管理 。 包 括 安全 事件 采集 、 过 滤 、 汇 聚 、 关 联 分 析 、 事 件 前 转移 及 安全 事件 
统计 分 析 等 。 安 全 预警 管理 。 包 括 漏洞 预警 ,病毒 预警 .事件 预警 以 及 预警 分 发 等 。 

(3) 安全 对 象 风 险 管理 。 包 括 安全 对 象 . 威 胁 管理 ,漏洞 管理 ,安全 基线 和 安全 风险 管 
理 等 。 

(4) 流程 管理 。 主 要 是 对 各 种 安全 预警 .安全 事件 安全 风险 进行 反应 , 工 单 是 流程 的 
一 种 承载 方式 ,因此 可 以 包括 产生 工 单 、 工 单 流转 以 及 将 工 单 处 理 经 验 进 行 积 累 等 。 

(5) 知识 管理 。 所 有 安全 工作 均 以 安全 知识 管理 为 基础 ,包括 威胁 库 、 病 毒 库 、 漏 洞 库 
和 安全 经 验 库 等 。 


3. 信息 安全 运行 管理 系统 主体 功能 


1) 安全 策略 管理 
安全 策略 管理 功能 应 实现 企业 安全 策略 的 导入 、 存 储 、 修 订 、 查 询 以 及 安全 策略 的 集中 
管理 。 同 时 应 支持 安全 策略 的 不 同 格式 的 数据 导出 、 安 全 策略 的 数据 统计 、 安 全 策略 的 定时 
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发 布 、 安 全 策略 符合 性 检 备 等 功能 ,实现 企业 内 所 有 安全 策略 的 全 流程 管理 。 安 全 策略 的 各 
项 管理 操作 通过 安全 策略 管理 与 流程 管理 模块 之 间 的 接口 转化 成 相应 的 处 理 流程 。 安 全 策 
略 管理 包括 企业 的 宏观 管理 策略 .相关 管理 规定 和 技术 指南 。 

(1) 策略 发 布 。 应 建立 数据 传输 机 制 ,保障 策略 在 企业 组 织 的 有 效 传播 ,支持 指定 策略 
的 发 布 范围 发布 方 式 和 发 布 时 间 等 功能 。 

(2) 策略 存储 。 主 要 为 建立 核心 的 安全 策略 库 , 支 持 多 种 分 类 的 存储 方式 ,包括 按 策略 
级 别 、 按 策略 类 别 、 按 策略 适用 范围 等 多 种 方式 。 策 略 存储 应 具备 多 种 数据 导 和 人 和 导出 机 
制 。 策 略 存储 应 提供 策略 的 多 样 信息 ,便于 快速 地 浏览 安全 策略 文件 的 出 处 .引用 的 文档 等 
信息 。 

(3) 策略 修订 。 通 过 建立 企业 安全 策略 生命 周期 管理 流程 来 实现 管理 策略 的 主要 功 
能 ,包括 制定 安全 策略 .讨论 安全 策略 .更 新 安全 策略 . 挂 起 安全 策略 及 注销 安全 策略 等 。 策 
略 修订 应 提供 记录 策略 的 历史 变更 信息 。 

(4) 策略 查询 。 是 对 安全 策略 库 的 检索 定位 功能 ,可 以 快速 定位 到 所 需要 的 策略 。 策 
略 查询 具备 对 多 种 条 件 的 组 合 查询 。 策 略 查询 对 查询 结果 具备 多 种 导出 机 制 。 

(5) 策略 符合 性 检查 。 主 要 为 建立 策略 的 评估 机 制 , 定 期 检查 安全 策略 是 否 符合 企业 
整体 业务 目标 。 策 略 符合 性 检查 支持 符合 性 统计 分 析 , 协 助 企 业 发 现 策略 内 容 缺 失 及 策略 
管理 流程 缺陷 。 

2) 安全 预警 管理 

安全 预警 主要 是 接收 来 自 第 三 方 服务 商 和 上 级 主管 单位 提供 的 安全 预警 (包括 漏洞 事 
件 和 病毒 等 ) 信 息 ,预警 模块 与 安全 对 象 管理 模块 关联 后 ,将 预警 信息 转发 给 相应 安全 对 象 
的 管理 责任 人 。 预 警 可 以 通过 告警 报表、 短信 及 告警 邮件 等 方式 呈现 。 安 全 预警 的 各 项 管 
理 操作 通过 安全 预警 管理 与 流程 管理 模块 之 间 的 接口 转化 成 相应 的 处 理 流程 。 

(1) 漏洞 预警 主要 是 接收 来 自 第 三 方 服务 商 ,. 上 级 主管 单位 和 组 织 内 部 提供 的 漏洞 信 
息 ,经 过 一 定 方法 加 工 后 ,对 指定 范围 进行 预警 ,对 众所周知 漏洞 的 相关 属性 提出 预防 和 解 
决 的 方法 。 

(2) 病毒 预警 主要 是 接收 来 自 第 三 方 服务 商 `. 上 级 主管 单位 和 组 织 内 部 提供 的 病毒 信 
息 , 经 过 一 定 方法 加 工 后 ,对 指定 范围 进行 预警 ,对 众所周知 病毒 的 相关 属性 提出 预防 和 解 
决 的 方法 。 

(3) 事件 通告 预警 主要 是 接收 来 自 第 三 方 服 务 商 、 上 级 主管 单位 和 组 织 内 部 的 事件 通 
告 ,经 过 一 定 方法 加 工 后 ,对 指定 范围 进行 预警 ,对 众所周知 事件 的 相关 属性 提出 预防 和 解 
决 的 方法 。 这 里 安全 事件 的 含义 是 广义 的 安全 事件 ,并 非 来 自 设备 。 

(4) 预警 分 发 处 理 。 预 警 模块 应 实现 以 下 功能 ， 

@ 接收 和 发 布 不 同等 级 的 预警 信息 。 

@ 提供 自动 接收 预警 信息 功能 .人 工 预 警 信息 发 布 接口 , 当 新 的 安全 漏洞 出 现时 ,应 可 
以 通过 该 接口 人 工 发 布 预警 信息 。 

@ 在 接收 到 预警 数据 后 ,该 模块 可 根据 预先 定义 的 数据 格式 和 策略 自动 生成 预警 信 
息 ,并 通知 安全 预警 管理 员 ,由 安全 预警 管理 员 确 定 是 否 发 布 预警 。 

@ 预警 信息 经 安全 管理 员 甄 别 后 ,由 系统 自动 地 与 安全 对 象 库 关 联 。 严 重 影响 的 , 自 
动 通知 相应 的 系统 管理 员 。 
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还 应 有 预警 统计 功能 来 帮助 用 户 对 安全 预警 信息 .预警 分 布 情况 进行 综合 的 分 析 。 

列 出 相应 受 影响 的 安全 对 象 以 及 预警 信息 数量 .预警 发 生 频 度 。 

3) 安全 事件 管理 

安全 事件 集中 监控 模块 的 主要 功能 是 通过 采集 ,过滤 .汇聚 和 关联 分 析 等 手段 充分 缩减 
并 甄别 大 型 信息 系统 中 可 能 产生 安全 事故 的 安全 事件 信息 ,并 对 安全 事件 进行 严重 性 排序 ， 
优先 呈现 和 处 理 严重 性 级 别 较 高 的 安全 事件 。 与 网 管 系统 的 事件 监控 模块 不 同 , 安 全 事件 
集中 监控 模块 关注 的 事件 类 型 主要 是 攻击 行为 .异常 活动 和 状态 .病毒 以 及 安全 告警 等 。 安 
全 事件 集中 监控 模块 与 日 志 审 计 系统 可 能 取 部 分 同样 的 日 志 , 但 两 者 有 较 大 区 别 , 日 志 审 计 
系统 主要 做 事后 的 安全 审计 ,而 安全 事件 集中 监控 模块 侧重 体现 系统 实时 的 安全 事件 状况 。 

(1) 安全 事件 采集 。 安 全 事件 集中 监控 模块 应 能 采集 各 类 安全 设备 、 其 他 信息 设备 或 
相关 组 织 ( 如 反 垃 圾 邮件 组 织 ) 产 生 的 各 种 与 安全 有 关 的 日 志 、 事 件 告警 .异常 流量 .投诉 等 
信息 以 及 通过 其 他 渠道 收集 的 安全 信息 ,并 设计 与 网 管 系统 的 接口 ,获取 网 管 系统 中 的 安全 
对 象 信息 ,故障 信息 和 配置 信息 等 。 在 采集 事件 的 过 程 中 ,对 监控 设备 的 性 能 影响 应 控制 在 
适当 范围 内 。 

(2) 安全 事件 格式 化 。 安 全 事件 监控 管理 模块 应 能 够 对 搜集 上 来 的 安全 事件 信息 进行 
格式 化 处 理 , 使 安全 管理 人 员 和 系统 管理 人 员 能 及 时 全 面 、 方 便 地 了 解 和 识别 出 信息 系统 
中 存在 的 安全 威胁 和 异常 事件 。 

(3) 安全 事件 过 滤 。 安 全 事件 集中 监控 模块 对 采集 到 的 数据 必须 有 过 滤 功 能 以 缩减 安 
全 事件 数量 。 

(4) 安全 事件 汇聚 。 事 件 汇聚 是 制定 过 滤 规 则 消除 重复 事件 来 缩减 安全 事件 数据 量 。 

(5) 安全 事件 关联 。 信 息 安全 运行 管理 系统 应 具有 安全 事件 关联 功能 来 深度 挖掘 安全 
隐患 ,判断 安全 事件 的 严重 程度 。 至 少 应 支持 以 下 关联 方式 : 

Q@ 基于 规则 的 关联 分 析 。 使 用 定义 好 的 关联 性 规则 对 收集 到 的 安全 事件 进行 检查 , 确 
定 该 事件 是 否 和 特定 的 规则 匹配 。 

@ 基于 统计 的 关联 分 析 。 通 过 事件 计数 产生 级 别 更 高 的 安全 事件 。 

@ 基于 安全 对 象 的 关联 分 析 。 安 全 事件 应 能 与 相关 安全 对 象 的 敏感 性 、 安 全 对 象 上 的 
漏洞 .安全 域 中 部 署 情 况 、 保 护 情 况 以 及 对 象 的 保护 等 级 进行 关联 ,从 而 判断 某 个 安全 事件 
是 否 能 造成 不 良 影 响 以 及 造成 不 良 影响 的 严重 程度 。 

@ 基于 广义 漏洞 的 关联 分 析 。 安 全 事件 应 能 同 网 段 的 相应 漏洞 进行 关联 ,判断 可 能 造 
成 的 不 良 影响 。 

高 风险 关联 : 当 出 现 高 风险 情况 时 ,应 能 自动 分 析 类 似 环境 中 是 否 出 现 相同 安全 事件 。 
信息 安全 运行 管理 系统 确定 的 关联 性 事件 ,不 仅 要 有 自身 的 内 容 , 还 必须 可 以 关联 查询 到 触 
发 该 事件 产生 的 所 有 的 原始 事件 。 

(6) 安全 事件 呈现 。 安 全 事件 集中 监控 模块 应 能 够 对 安全 事件 进行 实时 监控 ,对 可 能 
造成 安全 事故 的 安全 事件 进行 告警 确认 ,清除 等 操作 ,并 以 多 种 方式 进行 不 同 级 别 安全 事件 
的 呈现 。 同 时 ,安全 事件 也 可 以 通过 报表 、 短 信和 告警 邮件 等 方式 呈现 。 

(7) 安全 事件 的 处 理 。 安 全 事件 告警 处 理 包括 告 警 确认 与 清除 .告警 前 转 .产生 安全 工 
单 . 非 正常 告警 等 功能 。 安 全 事件 集中 监控 模块 提供 告警 前 转 条 件 的 设置 ,包括 告警 时 间 范 
四 .告警 级 别 、 类 型 .告警 源 等 。 用 户 可 以 灵活 选择 一 个 或 多 个 系统 。 时 间 范 围 可 由 用 户 灵 
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活 设置 ,并 支持 根据 不 同 条 件 的 组 合 , 创 建 多 个 告警 前 转 条 件 功能 。 安 全 事件 集中 监控 模块 
根据 告警 级 别 选择 使 用 安全 工 单 前 转 ,首先 自动 生成 安全 工 单 , 并 根据 告警 信息 自动 填充 工 
单 的 部 分 内 容 , 用 于 向 安全 工 单 模块 提供 数据 。 对 单位 时 间 内 频次 过 高 或 历时 过 长 (门限 可 
由 用 户 设置 ) 的 告警 ,信息 安全 运行 管理 系统 自动 提高 告警 级 别 ,从 而 保证 安全 事件 告警 信 
息 的 有 效 性 。 

(8) 安全 事件 统计 分 析 和 报表 功能 。 信 息 安 全 运行 管理 系统 应 能 从 多 种 角度 、 多 种 维 
度 对 数据 进行 分 析 ; 能 将 结果 以 图 形 方式 或 报表 方式 显示 、 打 印 。 安 全 事件 集中 监控 模块 
能 够 输出 各 种 通用 报表 ,例如 可 以 产生 日 报表 、 周 报表 、 月 报表 、 季 度 报 表 和 年 报表 等 。 

(9) 安全 事件 源 数据 存储 及 追溯 功能 。 在 上 述 流程 之 外 ,以 源 文件 格式 将 收集 到 的 各 
种 安全 事件 数据 进行 存储 ,可 以 追溯 。 

4) 安全 对 象 风险 管理 

信息 安全 运行 管理 系统 应 以 安全 对 象 库 的 建立 为 基础 ,实现 安全 对 象 , 安 全 对 象 上 的 漏 
洞 .安全 对 象 面临 的 威胁 以 及 相应 风险 的 管理 ,并 实现 动态 的 风险 管理 ,支持 安全 对 象 与 事 
件 的 关联 等 。 安 全 对 象 风险 的 各 项 管理 操作 通过 安全 对 象 风险 管理 与 流程 管理 模块 之 间 的 
接口 转化 成 相应 的 处 理 流程 。 在 实际 操作 过 程 中 ,应 定义 统一 的 安全 对 象 级 别 、 安 全 域 划 
分 漏洞 定义 、 威 胁 定 级 .风险 定 级 的 标准 ,确保 数据 的 统一 和 可 比较 ,应 定义 安全 对 象 的 基 
本 属性 (例如 名 称 、 型 号 .端口 开启 状态 等 ) 以 及 安全 属性 (例如 机 密 性 等 级 ) 。 安 全 对 象 的 价 
值 级 别 对 应 安全 等 级 ,安全 等 级 保护 需 考虑 安全 对 象 的 价值 和 安全 对 象 所 面临 的 风险 。 安 
全 对 象 类 型 应 包括 主机 ; 网 络 设备 ; 数据 库 管 理 系统 ; 安全 设备 ,如 防火 墙 \NIDS 等 ; 应 用 
系统 ; 数据 和 信息 ; 多 个 安全 对 象 构成 的 安全 对 象 组 。 安 全 对 象 风险 管理 模块 应 能 从 不 同 
的 视图 对 安全 对 象 进行 组 织 和 展现 ,还 至 少 应 具备 拓扑 呈现 的 功能 ,拓扑 中 的 节点 应 能 够 与 
安全 对 象 库 中 的 信息 关联 。 应 提供 安全 域 管理 的 功能 ,包括 安全 域 划 分 界面 呈现、 网络 架 
构 维 护 、 申 请 入 网 管理 ,安全 域 数据 管理 等 。 

(1) 安全 威胁 管理 。 安 全 威胁 的 管理 应 包括 以 下 功能 : 

@ 应 以 威胁 库 的 形式 存储 威胁 信息 ,并 定期 升级 。 

@ 应 能 通过 系统 安全 评估 将 威胁 信息 与 安全 对 象 关联 起 来 。 

@ 威胁 信息 应 与 相应 漏洞 有 关联 关系 。 

@ 威胁 可 能 性 应 与 被 监控 系统 中 发 生 的 对 应 安全 事件 进行 关联 ,并 定期 对 与 安全 对 象 
关联 的 威胁 可 能 性 的 赋值 进行 自动 更 新 。 

@ 每 次 定期 ,实时 安全 评估 后 ,对 安全 对 象 面临 的 安全 威胁 进行 更 新 。 

(2) 安全 漏洞 管理 。 安 全 漏洞 的 管理 应 包括 以 下 功能 : 

Q@ 应 以 漏洞 库 的 形式 存储 漏洞 信息 ,并 实时 升级 。 

@ 支持 根据 需求 对 属性 进行 定制 ,例如 编辑 漏洞 类 别 信息 等 。 

@ 应 能 通过 系统 安全 评估 将 漏洞 信息 与 安全 对 象 .威胁 关联 起 来 。 

@ 漏洞 信息 导入 : 支持 第 三 方 漏洞 评估 产品 扫描 结果 以 及 本 地 脚本 评估 结果 和 人 工 
管理 审计 评估 结果 等 的 导入 ,并 能 与 安全 对 象 信息 关联 ,导入 过 程 将 依据 评估 方式 和 时 间 对 
漏洞 进行 标识 。 

@ 提供 标准 文件 格式 ,对 信息 资产 风险 管理 模块 导入 的 漏洞 进行 评估 。 

@ 在 收 到 预警 信息 并 由 安全 管理 员 确 认 后 ,应 对 预警 信息 可 能 影响 到 的 安全 对 象 的 漏 


洞 情况 进行 更 新 。 

@ 在 对 系统 进行 了 加 固 或 调整 后 ,安全 对 象 对 应 的 漏洞 数据 应 进行 相应 的 更 新 。 

@ 每 次 定期 ,实时 安全 评估 完成 后 ,在 输入 漏洞 评估 结果 时 ,根据 评估 结果 建立 和 维护 
安全 对 象 的 漏洞 表 。 

在 系统 维护 人 员 根 据 预 警 、 安 全 事件 、 风 险 等 方面 的 告警 对 系统 进行 了 升级 加 固 后 ， 
安全 对 象 现 有 的 漏洞 数据 应 进行 相应 的 更 新 。 

(3) 安全 补丁 状况 。 信 息 管 理 安全 补丁 状况 信息 管理 涉及 补丁 获取 、 补 丁 分 类 分 级 、 补 
丁 与 安全 对 象 的 精确 关联 、 补 丁 加 载 任务 通知 、 补 丁 测试 过 程 管理 ,补丁 加 载 过 程 管理 等 。 

(4) 安全 基线 分 析 。 以 端口 、 服 务 以 及 系统 配置 等 涉及 系统 安全 方面 的 状况 信息 构成 
安全 基线 ,由 安全 管理 平台 实时 监控 系统 的 安全 状况 ,通过 与 事先 定义 的 安全 基线 对 比 , 产 
生 与 安全 事件 类 似 的 报警 和 解决 措施 。 

(5) 风险 管理 应 能 够 对 安全 对 象 进行 漏洞 .威胁 和 风险 综合 评估 。 风 险 值 应 是 安全 对 
象 价值 漏洞 严重 程度 和 威胁 值 的 函数 。 信 息 安全 运行 管理 系统 能 根据 输入 的 安全 评估 结 
果 自 动 进行 风险 计算 ,用 户 也 可 以 对 自动 计算 得 到 的 风险 信息 进行 修改 。 应 能 提供 分 级 分 
域 的 风险 计算 .分析 ,统计 、 排 名、 查询 与 统计 功能 ,便于 安全 管理 人 员 和 系统 管理 人 员 能 方 
便 地 查找 所 需 安全 对 象 的 信息 ,并 能 关联 查找 到 相关 的 漏洞 威胁、 风险 ,历史 安全 事件 等 信 
息 。 安 全 对 象 风险 管理 模块 应 基于 安全 对 象 信息 库 对 安全 对 象 上 的 脆弱 性 /漏洞 以 及 安全 
对 象 面 临 的 威胁 进行 收集 和 管理 。 可 以 选择 配备 远程 漏洞 评估 工具 以 及 本 地 评估 脚本 ,并 
配 以 人 工 管理 审计 等 ,及 时 掌握 网 络 中 各 个 系统 的 最 新 安全 脆弱 性 和 威胁 情况 并 将 结果 
导入 。 

5) 流程 管理 

流程 管理 功能 主要 是 实现 工 单 的 电子 化 处 理 功 能 ,通过 计算 机 系统 代替 以 前 的 手动 工 
单 处 理 流程 ,通过 电子 流程 再 现 ,规范 和 优化 运行 维护 部 门 的 生产 工作 流程 ,从 而 提高 用 户 
的 工作 效率 。 在 处 理工 单 时 能 方便 地 关联 查询 相关 安全 对 象 信息 、 漏 洞 列表 、 威 胁 列表 、 风 
险 列 表 预警 信息 和 历史 事件 等 ,并 能 关联 到 相关 内 容 , 为 事件 处 理 人 员 提 供 帮助 和 指导 信 
息 。 安 全 工 单 模块 应 记录 每 一 个 工 单 在 每 一 个 阶段 的 处 理 时 间 , 如 从 派发 到 受理 的 时 间 , 从 
受理 到 处 理 完毕 的 时 间 。 工 单 完成 后 ,形成 的 经 验 要 加 入 经 验 库 。 能 实现 与 安全 事件 监控 
管理 模块 .安全 对 象 风险 管理 模块 .安全 预警 模块 .安全 策略 管理 等 模块 的 接口 ,接收 这 些 模 
块 产生 的 工 单 信息 ,并 且 能 够 将 工 单 的 处 理 结果 和 相应 信息 反馈 到 上 述 模块 中 ,以 保证 上 述 
模块 中 的 相关 数据 能 够 根据 工 单 处 理 结果 进行 更 新 和 修正 。 安 全 运 维 人 员 收 到 工 单 后 ,将 
使 用 合适 的 技术 或 管理 手段 (包括 网 管 系统 ) 来 完成 工 单 中 所 列 任务 。 

6) 安全 知识 管理 

安全 知识 管理 应 围绕 信息 系统 的 完整 生命 周期 ,能 统一 管理 各 种 安全 信息 ,具体 包括 : 

(1) 漏洞 库存 放 标 准 的 漏洞 信息 ,提示 企业 可 能 存在 的 漏洞 ,通用 漏洞 级 别 及 建议 的 处 
置 方式 。 漏 洞 库 应 支持 多 种 统计 和 查询 方式 ,便于 对 漏洞 进行 处 置 。 

(2) 威胁 库存 放 标 准 的 威胁 信息 ,提示 企业 可 能 面临 的 威胁 ,通用 威胁 级 别 及 建议 的 处 
置 方式 。 威胁 库 应 支持 多 种 统计 和 查询 方式 ,便于 对 威胁 进行 处 置 。 

(3) 安全 经 验 库 实现 安全 信息 的 共享 和 利用 ,提供 了 一 个 集中 存放 、 管 理 、 查 询 安全 知 
识 的 环境 。 安 全 经 验 库 的 主要 功能 是 将 处 理 结束 的 安全 事件 方法 和 措施 及 标准 事件 信息 收 
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集 起 来 ,形成 安全 共享 知识 库 ,该 知识 库 的 数据 以 数据 库 的 形式 存储 及 管理 ,为 培养 高 素质 
网 络 安全 技术 人 员 提 供 资源 。 


4. 信息 安全 运行 管理 系统 信息 要 求 


1) 接口 要 求 

根据 上 述 功能 需要 ,例如 与 网 管 共享 数据 、 采 集 各 种 设备 的 安全 信息 等 ,SOC 必须 支持 
以 下 接口 : 

(1) 内 部 接口 。 包 括 一 种 或 者 多 种 被 监控 设备 的 数据 接口 ,安全 评估 结果 的 数据 接口 
和 预警 信息 接口 。 

(2) 外 部 接口 。 企 业 总 部 SOC 与 上 级 SOC 接口 : 企业 总 部 SOC 根据 上 级 SOC 发 出 
的 要 求 , 提 交 相 关 数据 到 上 级 SOC。 企 业 总 部 SOC 与 下 级 SOC 接口 : 企业 总 部 SOC 向 下 
级 SOC 系统 进行 数据 调用 和 功能 调用 ,实现 企业 SOC 的 集中 管理 。SOC 与 网 管 系统 接口 ， 
SOC 其 他 管理 系统 (如 OA) 接 口 。 支 持 标准 IODEF 接口 : 组 织 总 部 SOC 和 上 级 、 下 级 
SOC 的 接口 结构 。 

2) 自身 安全 管理 要 求 

信息 安全 运行 管理 系统 首先 应 提供 对 信息 安全 运行 管理 系统 的 主机 、 数 据 库 、 网 络 连 接 
情况 和 应 用 程序 运行 情况 的 安全 监视 功能 和 网 管 功能 ,同时 提供 部 分 重要 应 用 程序 启动 . 停 
止 处 理 功能 。 其 次 ,信息 安全 运行 管理 系统 自身 必须 具备 用 户 权限 管理 功能 ,应 具备 日 志和 
审计 功能 ,系统 日 志 管 理 提供 对 系统 日 志 的 查询 ,统计 和 删除 功能 。 

3) 技术 要 求 

信息 安全 运行 管理 系统 应 具备 适合 需求 的 可 靠 性 、 可 维护 性 、 高 度 的 扩展 性 、 足 够 的 处 
理 能 力 , 软 件 本 身 应 具备 易 用 性 ,能 够 与 终端 设备 、 网 络 设备 时 间 同 步 。SOC 系统 应 考虑 备 
份 \ 恢 复 操作 以 及 访问 控制 ,并 能 够 在 不 连接 互联 网 的 前 提 下 实现 修复 漏洞 . 打 补 丁 、 监 控 威 
胁 以 及 应 用 程序 的 升级 。 


6.2.2 信息 安全 事件 管理 


目前 ,没有 任何 一 种 具有 代表 性 的 信息 安全 策略 或 防护 措施 能 够 对 信息 、 信 息 系统 、 服 
务 或 网 络 提供 绝对 的 保护 。 即 使 采取 了 防护 措施 , 仍 可 能 存在 残留 的 弱点 ,使 得 信息 安全 防 
护 变 得 无 效 ,从 而 导致 信息 安全 事件 发 生 ,并 对 组 织 的 业务 运行 直接 或 间接 产生 负面 影响 。 
此 外 ,以 前 未 被 认识 到 的 威胁 也 可 能 会 发 生 。 组 织 如 果 对 这 些 事件 没有 做 好 充分 的 应 对 准 
备 ,其 任何 实际 响应 措施 的 效率 都 会 大 打折 扣 , 其 至 还 可 能 加 大 潜在 的 业务 负面 影响 的 程 
度 。 因 此 ,对 于 任何 一 个 重视 信息 安全 的 组 织 来 说 ,采用 一 种 结构 严谨 、 计 划 周 全 的 方法 来 
处 理 以 下 工作 十 分 必要 : 发 现 、 报 告 和 评估 信息 安全 事件 ; 对 信息 安全 事件 做 出 响应 ,包括 
启动 适当 的 事件 防护 措施 来 预防 和 降低 事件 影响 ,以 及 从 事件 影响 中 恢复 ; 从 信息 安全 事 
件 中 吸取 经 验 教训 ,制定 预防 措施 ,并 且 随 着 时 间 的 变化 ,不 断 改进 整个 的 信息 安全 事件 管 
理 方法 。 

2007 年 ,国家 标准 化 指导 性 技术 文件 (信息 技术 安全 技术 信息 安全 事件 管理 指南 》 
(GB/Z 20985 一 2007) 颁 布 ,该 标准 以 ISO/IEC TR 18044 一 2004 为 基础 。 


1. 概念 术语 


(1) 业务 连续 性 规划 。 这 样 一 个 过 程 : 当 有 任何 意外 或 有 害 事件 发 生 , 且 对 基本 业务 
功能 和 支持 要 素 的 连续 性 造成 负面 影响 时 ,确保 运行 的 恢复 得 到 保障 。 该 过 程 还 应 确保 恢 
复工 作 按 指定 优先 级 、 在 规定 的 时 间 期 限 内 完成 , 且 随 后 将 所 有 业务 功能 及 支持 要 素 恢 复 到 
正常 状态 。 这 一 过 程 的 关键 要 素 必须 确保 具有 必要 的 计划 和 设施 , 且 经 过 测试 ,它们 包含 信 
息 , 业 务 过 程 、 信 息 系统 和 服务 .语音 和 数据 通信 .人 员 和 物理 设施 等 。 

(2) 信息 安全 事态 。 是 被 识别 的 一 种 系统 、 服 务 或 网 络 状态 的 发 生 , 表 明 一 次 可 能 的 信 
息 安 全 策略 违规 或 某 些 防 护 措施 失效 ,或 者 一 种 可 能 与 安全 相关 但 以 前 不 为 人 知 的 情况 。 

(3) 信息 安全 事件 。 指 由 单个 或 一 系列 意外 或 有 害 的 信息 安全 事态 所 组 成 , 极 有 可 能 
危害 业务 运行 和 威胁 信息 安全 。 

(4) 信息 安全 事件 响应 组 。 指 由 组 织 中 具备 适当 技能 且 可 信 的 成 员 组 成 的 一 个 小 组 ， 
负责 处 理 与 信息 安全 事件 相关 的 全 部 工作 。 有 时 ,小 组 可 能 会 有 外 部 专家 加 入 ,例如 来 自 一 
个 公认 的 计算 机 事件 响应 组 或 计算 机 应 急 响应 组 (CERT) 的 专家 。 


2. 信息 安全 事件 管理 框架 


1) 管理 目标 

作为 任何 组 织 整体 信息 安全 战略 的 一 个 关键 部 分 ,采用 一 种 结构 严谨 、 计 划 周 全 的 方法 
进行 信息 安全 事件 的 管理 至 关 重 要 。 这 一 方法 的 目标 旨 在 确保 : 信息 安全 事态 可 以 被 发 现 
并 得 到 有 效 处 理 ,尤其 是 确定 是 否 需要 将 事态 归 类 为 信息 安全 事件 ; 对 已 确定 的 信息 安全 
事件 进行 评估 ,并 以 最 恰当 和 最 有 效 的 方式 做 出 响应 ; 作为 事件 响应 的 一 部 分 ,通过 恰当 的 
防护 措施 ,结合 业务 连续 性 计划 的 相关 要 素 ,将 信息 安全 事件 对 组 织 及 其 业务 运行 的 负面 影 
响 降 至 最 小 ; 及 时 总 结 信息 安全 事件 及 其 管理 的 经 验 教训 。 这 将 增加 预防 将 来 信息 安全 事 
件 发 生 的 机 会 ,改进 信息 安全 防护 措施 的 实施 和 使 用 ,同时 全 面 改进 信息 安全 事件 管理 
方案 。 

2) 管理 过 程 

为 了 实现 上 述 目标 ,信息 安全 事件 管理 由 以 下 4 个 不 同 的 过 程 组 成 。 

(1) 规划 和 准备 。 规 划 和 准备 包括 制定 信息 安全 事件 管理 策略 ,获得 高 级 管理 层 的 承 
诺 ; 制定 信息 安全 事件 管理 方案 ; 对 公司 及 系统 /服务 /网 络 安全 进行 风险 分 析 和 管理 ,更 
新 策略 ; 建立 ISIRT; 发 布 信息 安全 事件 管理 意识 简报 并 开展 培训 ; 测试 信息 安全 事件 管 
理 方案 使 用 。 有 效 的 信息 安全 事件 管理 需要 适当 的 规划 和 准备 。 为 使 信息 安全 事件 的 响应 
有 效 , 下 列 措施 是 必要 的 : 制定 信息 安全 事件 管理 策略 并 使 其 成 为 文件 ,获得 所 有 关键 利益 
相关 人 ,尤其 是 高 级 管理 层 对 策略 的 可 视 化 承诺 ; 制定 信息 安全 事件 管理 方案 并 使 其 全 部 
成 为 文件 ,用 于 支持 信息 安全 事件 管理 策略 。 用 于 发 现 、 报 告 ` 评 估 和 响应 信息 安全 事件 的 
表单 .规程 和 支持 工具 ,以 及 事件 严重 性 衡量 尺度 的 细节 , 均 应 包括 在 方案 文件 中 。 更 新 所 
有 层面 的 信息 安全 和 风险 管理 策略 , 即 全 组 织 范围 的 ,以 及 针对 每 个 系统 .服务 和 网 络 的 信 
息 安全 和 风险 管理 策略 , 均 应 根据 信息 安全 事件 管理 方案 进行 更 新 。 确 定 一 个 适当 的 信息 
安全 事件 管理 的 组 织 结构 , 即 信息 安全 事件 响应 组 (ISIRT) ,给 那些 可 调用 的 、 能 够 对 所 有 
已 知 的 信息 安全 事件 类 型 作出 充分 响应 的 人 员 指 派 明 确 的 角色 和 责任 。 在 大 多 数组 织 中 ， 
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ISIRT 可 以 是 一 个 虚拟 小 组 ,是 由 一 名 高 级 管理 人 员 领 导 的 、 得 到 各 类 特定 主题 专业 人 员 支 
持 的 小 组 。 例 如 ,在 处 理 亚 意 代码 攻击 时 ,根据 相关 事件 类 型 召集 相关 的 专业 人 员 。 通 过 简 
报 和 /或 其 他 机 制 使 所 有 的 组 织 成 员 了 解 信息 安全 事件 管理 方案 方案 能 带 来 哪些 益处 以 及 
如 何 报告 信息 安全 事态 。 应 该 对 管理 信息 安全 事件 管理 方案 的 负责 人 员 、 判 断 信息 安全 事 
态 是 否 为 事件 的 决策 者 ,以 及 参与 事件 调查 的 人 员 进行 适当 培训 。 全 面 测试 信息 安全 事件 
管理 方案 。 

(2) 使 用 。 使 用 包括 检测 并 报告 信息 安全 事态 ; 评估 并 决定 是 否 将 事态 归 类 为 信息 安 
全 事件 ; 对 信息 安全 事件 做 出 响应 ,其 中 包括 进行 法 律 取证 分 析 。 下 列 过 程 是 使 用 信息 安 
全 事件 管理 方案 的 必要 过 程 : 

@ 发 现 和 报告 所 发 件 的 信息 安全 事态 (人 为 或 自动 方式 ) 。 

@ 收集 与 信息 安全 事态 相关 的 信息 ,通过 评估 这 些 信息 确定 哪些 事态 应 归 类 为 信息 安 
全 事件 。 

@ 对 信息 安全 事件 作出 响应 : 立刻 、 实 时 或 接近 实时 。 如 果 信 息 安全 事件 在 控制 之 
下 , 按 要 求 在 相对 缓和 的 时 间 内 采取 行动 ; 如 果 信 息 安 全 事件 不 在 控制 之 下 ,发 起 “危机 求 
助 ”行动 。 将 信息 安全 事件 及 任何 相关 的 细节 传达 给 内 部 和 外 部 人 员 和 /或 组 织 ; 进行 法 律 
取证 分 析 ; 正确 记录 所 有 行动 和 决定 以 备 进一步 分 析 之 用 ; 结束 对 已 经 解决 事件 的 处 理 。 

(3) 评审 。 评 审 包括 进一步 进行 法 律 取证 分 析 ; 总 结 经 验 教训 ; 确定 安全 的 改进 之 处 ; 
确定 信息 安全 事件 管理 方案 的 改进 之 处 。 在 信息 安全 事件 已 经 解决 或 结束 后 ,进行 以 下 评 
审 活动 是 必要 的 : 按 要 求 进行 进一步 法 律 取证 分 析 ; 总 结 信息 安全 事件 中 的 经 验 教训 ; 作 
为 从 一 次 或 多 次 信息 安全 事件 中 吸取 经 验 教训 的 结果 ,确定 信息 安全 防护 措施 实施 方面 的 
改进 ; 作为 从 信息 安全 事件 管理 方案 质量 保证 评审 中 吸取 经 验 教训 的 结果 ,确定 对 整个 信 
息 安全 事件 管理 方案 的 改进 。 

(4) 改进 。 改 进 包括 改进 安全 风险 分 析 和 管理 评审 的 结果 ; 启动 对 安全 的 改进 ; 改进 
信息 安全 事件 管理 方案 。 应 该 强调 的 是 ,信息 安全 事件 管理 过 程 虽然 可 以 反复 实施 ,但 随 着 
时 间 的 推移 ,有 许多 信息 安全 要 素 需 要 经 常 改进 。 这 些 需要 改进 的 地 方 应 该 在 对 信息 安全 
事件 数据 、 事 件 响 应 以 及 一 段 时 间 以 来 的 发 展 趋势 所 作 评 审 的 基础 上 提出 。 其 中 包括 修订 
组 织 现 有 的 信息 安全 风险 分 析 和 管理 评审 结果 ; 改进 信息 安全 事件 管理 方案 及 其 相关 文 
档 ; 启动 安全 的 改进 ,可 能 包括 新 的 和 /或 经 过 更 新 的 信息 安全 防护 措施 的 实施 。 


3. 信息 安全 事件 管理 方案 的 益处 及 需要 应 对 的 关键 问题 


这 部 分 提供 了 以 下 信息 : 一 个 有 效 的 信息 安全 事件 管理 方案 可 带 来 的 益处 ; 使 组 织 高 
级 管理 层 以 及 那些 提交 和 接收 方案 反馈 意见 的 人 员 信 服 所 必须 应 对 的 关键 问题 。 

1) 信息 安全 事件 管理 方案 的 益处 

任何 以 结构 严谨 的 方法 进行 信息 安全 事件 管理 的 组 织 均 能 收效 匪 浅 。 一 个 结构 严谨 、 
计划 周全 的 信息 安全 事件 管理 方案 带 来 的 益处 可 分 为 以 下 几 类 : 提高 安全 保障 水 平 ; 降低 
对 业务 的 负面 影响 ,例如 由 信息 安全 事件 所 导致 的 破坏 和 经 济 损失 ; 强化 着 重 预防 信息 安 
全 事件 ; 强化 调查 的 优先 顺序 和 证 据 ; 有 利于 预算 和 资源 合理 利用 ; 改进 风险 分 析 和 管理 
评审 结果 的 更 新 ; 增强 信息 安全 意识 和 提供 培训 计划 材料 ; 为 信息 安全 策略 及 相关 文件 的 
评审 提供 信息 。 下 面 逐一 介绍 这 些 主题 。 
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(1) 提高 安全 保障 水 平 。 一 个 结构 化 的 发 现 、 报 告 .评估 和 管理 信息 安全 事态 和 事件 的 
过 程 ,能 使 组 织 迅速 确定 任何 信息 安全 事态 或 事件 并 对 其 做 出 响应 ,从 而 通过 帮助 快速 确定 
并 实施 前 后 一 致 的 解决 方案 和 提供 预防 将 来 类 似 的 信息 安全 事件 再 次 发 生 的 方式 来 提高 整 
体 的 安全 保障 水 平 。 

(2) 降低 对 业务 的 负面 影响 。 结 构 化 的 信息 安全 事件 管理 方法 有 助 于 降低 对 业务 潜在 
的 负面 影响 的 级 别 。 这 些 影响 包括 当前 的 经 济 损失 ,以 及 长 期 的 声誉 和 信誉 损失 。 

(3) 强调 以 事件 预防 为 主 。 采 用 结构 化 的 信息 安全 事件 管理 有 助 于 在 组 织 内 创造 一 个 
以 事件 预防 为 重点 的 氛围 。 对 与 事件 相关 的 数据 进行 分 析 , 能 够 确定 事件 的 模式 和 趋势 ,从 
而 便于 更 准确 地 对 事件 重点 预防 ,并 确定 预防 事件 发 生 的 适当 措施 。 

(4) 强化 调查 的 优先 顺序 和 证 据 。 一 个 结构 化 的 信息 安全 事件 管理 方法 为 信息 安全 事 
件 调查 时 优先 级 的 确定 提供 了 可 靠 的 基础 。 如 果 没 有 清晰 的 调查 规程 ,调查 工作 便 会 有 根 
据 临 时 反应 进行 的 风险 ,在 事件 发 生 时 才 响 应 ,只 按照 相关 管理 层 的 “最 大 声音 行事。 这样 
会 阻碍 调查 工作 进入 真正 需要 的 方面 和 遵循 理想 的 优先 顺序 进行 。 清 晰 的 事件 调查 规程 有 
助 于 确保 数据 的 收集 和 处 理 是 证 据 充 分 的 法律 所 接受 的 。 如 果 随 后 要 进行 法 律 起 诉 或 采 
取 内 部 处 罚 措施 的 话 , 这 些 便 有 重点 的 考虑 事项 。 然 而 应 该 认识 到 的 是 ,从 信息 安全 事件 中 
恢复 所 必须 采取 的 措施 ,可 能 危害 这 种 收集 到 的 证 据 的 完整 性 。 

(5) 预算 和 资源 。 定 义 明确 且 结 构 化 的 信息 安全 事件 管理 ,有 助 于 正确 判断 和 简化 所 
涉及 组 织 部 门 内 的 预算 和 资源 分 配 。 此 外 ,信息 安全 事件 管理 方案 自身 的 益处 还 有 : 可 用 
技术 不 太 熟 练 的 员工 来 识别 和 过 滤 虚 假 警报 ; 可 为 技术 熟练 员工 的 工作 提供 更 好 的 指导 ; 
可 将 技术 熟练 员工 仅 用 于 那些 需要 其 技能 的 过 程 以 及 过 程 的 阶段 中 。 此 外 ,结构 化 的 信息 
安全 事件 管理 还 包括 “时 间 戳 ”, 从 而 有 可 能 “定量 ?评估 组 织 对 安全 事件 的 处 理 。 例 如 , 它 可 
以 提供 信息 说 明 解 决 处 于 不 同 优先 级 和 不 同 平 台 上 的 事件 需要 多 长 时 间 。 如 果 信 息 安 全 事 
件 管理 的 过 程 存在 瓶颈 ,也 应 该 是 可 识别 的 。 

(6) 信息 安全 风险 分 析 和 管理 。 结 构 化 的 信息 安全 事件 管理 方法 有 助 于 : 可 为 识别 和 
确定 各 种 威胁 类 型 及 相关 脆弱 性 的 特征 收集 质量 更 好 的 数据 ; 提供 有 关 已 识别 的 威胁 类 型 
发 生 频 率 的 数据 。 从 信息 安全 事件 对 业务 运行 的 负面 影响 中 获取 的 数据 ,对 于 业务 影响 分 
析 十 分 有 用 。 识 别 各 种 威胁 类 型 发 生 频 率 所 获取 的 数据 ,对 威胁 评估 的 质量 有 很 大 帮助 。 
同样 ,有 关 脆 弱 性 的 数据 对 保证 将 来 脆弱 性 评估 的 质量 帮助 很 大 。 这 方面 的 数据 将 极 大 地 
改进 信息 安全 风险 分 析 和 管理 层 评审 结果 。 

(7) 信息 安全 意识 。 结 构 化 的 信息 安全 事件 管理 可 以 为 信息 安全 意识 教育 计划 提供 重 
要 信息 。 这 些 重 要 信息 将 用 实例 表明 信息 安全 事件 确实 发 生 在 组 织 中 ,而 并 非 “ 只 是 发 生 在 
别人 身上 ”。 它 还 可 能 表明 ,迅速 提供 有 关 解 决 方案 的 信息 会 带 来 哪些 益处 。 此 外 ,这 种 意 
识 有 助 于 减少 员工 遭遇 信息 安全 事件 时 的 错误 或 惊慌 /混乱 。 

(8) 为 信息 安全 策略 评审 提供 信息 。 信 息 安全 事件 管理 方案 所 提供 的 数据 可 以 为 信息 
安全 策略 (以 及 其 他 相关 信息 安全 文件 ) 的 有 效 性 评审 以 及 随后 的 改进 提供 有 价值 的 信息 。 
这 可 应 用 于 适合 整个 组 织 以 及 单个 系统 、 服 务 和 网 络 的 策略 和 其 他 文件 。 

2) 关键 问题 

在 信息 安全 事件 管理 方法 中 得 到 的 反馈 ,有 助 于 确保 相关 人 员 始 终 将 关注 点 集中 在 组 
织 的 系统 .服务 和 网 络 面临 的 实际 风险 上 。 这 一 重要 的 反馈 通过 在 事件 发 生 时 的 专门 处 理 
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是 不 能 有 效 得 到 的 。 只 有 通过 使 用 一 个 结构 化 的 ` 设 计 明确 的 信息 安全 事件 处 理 管理 方案 ， 
且 该 方案 采用 一 个 适用 于 组 织 所 有 部 分 的 通用 框架 才能 更 有 效 得 到 。 这 样 的 框架 应 该 能 使 
该 方案 持续 产生 更 加 全 面 的 结果 ,从 而 可 以 在 信息 安全 事件 发 生 之 前 迅速 识别 信息 安全 事 
件 可 能 出 现 的 情况 ,这 也 被 称 作 ”警报 ”。 

信息 安全 事件 管理 方案 的 管理 和 审核 应 该 能 为 促进 组 织 员工 的 广泛 参与 ,以 及 消除 各 
方 对 保证 匿名 性 、 安 全 和 有 用 结果 的 可 用 性 等 方面 的 担忧 ,奠定 必要 的 信任 基础 。 例 如 , 管 
理 和 运行 人 员 必 须 对 “警报 "能够 给 出 及 时 、 相 关 、 精 确 、 简 洁 和 完整 的 信息 有 信心 。 

组 织 应 避免 在 实施 信息 安全 事件 管理 方案 的 过 程 中 可 能 遇 到 的 问题 ,如 缺少 有 用 结果 
和 对 隐私 相关 问题 的 关注 等 。 必 须 使 利益 相关 人 相信 ,组 织 已 经 采取 措施 预防 这 些 问 题 的 
发 生 。 

因此 ,为 实现 一 个 良好 的 信息 安全 事件 管理 方案 ,必须 将 一 些 关 键 问题 阐述 清楚 ,这 些 
问题 包括 管理 层 的 承诺 ; 安全 意识 ; 法 律 法 规 ; 运行 效率 和 质量 ; 匿名 性 ; 保密 性 ; 可 信 运 
行 ; 系统 化 分 类 。 让 

(1) 管理 层 的 承诺 。 要 使 整个 组 织 接受 一 个 结构 化 的 信息 安全 事件 管理 方法 ,确保 得 
到 管理 层 的 持续 承诺 ,这 一 点 至 关 重 要 。 引 兴 有 工 乡 天 光 相 认识 到 事件 的 发 生 , 并 且 知 道 应 
该 采取 什么 行动 ,甚至 了 解 这 种 事件 管理 方法 可 以 给 组 织带 来 的 益处 。 然 而 ,除非 得 到 管理 
层 的 支持 ,否则 这 一 切 都 不 会 出 现 。 必 须 将 这 一 理念 灌输 给 管理 层 , 以 使 组 织 对 事件 响应 能 
力 的 资源 方面 和 维护 工作 做 出 承诺 。 

(2) 安全 意识 。 对 于 组 织 接受 一 个 结构 化 的 信息 安全 事件 管理 方法 而 言 , 另 一 个 重要 
的 问题 是 安全 意识 。 即 使 要 求 用 户 参 与 信息 安全 事件 管理 ,但 是 用 户 如 果 不 了 解 自己 以 及 
自己 所 在 部 门 会 从 该 结构 化 的 信息 安全 事件 管理 中 得 到 哪些 益处 ,他 们 的 参与 很 可 能 不 会 
有 太 好 的 效果 。 任 何 信息 安全 事件 管理 方案 都 应 该 具有 意识 计划 定义 文件 ,并 在 文件 中 规 
定 以 下 细节 : 组 织 及 其 员工 可 以 从 结构 化 的 信息 安全 事件 管理 中 得 到 的 益处 ; 信息 安全 事 
态 / 事 件数 据 库 中 的 事件 信息 及 其 输出 ; 提高 员工 安全 意识 计划 的 战略 和 机 制 ; 根据 组 织 
的 具体 情况 ,它们 可 能 是 独立 的 ,或 者 是 更 广泛 的 信息 安全 意识 教育 计划 的 一 部 分 。 

(3) 法 律 法 规 。 以 下 与 信息 安全 事件 管理 相关 的 法 律 法 规 问 题 应 在 信息 安全 事件 管理 
策略 和 相关 方案 中 进行 盖 述 。 

@ 提供 适当 的 数据 保护 和 个 人 信息 隐私 。 一 个 组 织 结构 化 的 信息 安全 事件 管理 ,必须 
才 志 汉 清 中 我 加 在 才 据 保护 各个 人 信息 吕方 面 的 相关 趟 六 :站 委 法 六 的 要 宁 ,提供 适当 的 
保护 ,其 中 可 能 包括 : 只 要 现实 、 可 行 ,保证 可 以 访问 个 人 数据 的 人 员 本 身 不 认识 被 调查 者 ; 
需要 访问 个 人 数据 的 人 员 在 被 授权 访问 之 前 应 签订 不 泄露 协议 ; 信息 应 仅 被 用 于 获取 它 的 
特定 目的 ,如 信息 安全 事件 调查 。 

加 适当 保留 记录 。 按 照 国 家 相关 规定 ,组 织 需 要 保留 适当 的 活动 记录 用 于 年 度 审计 ， 
或 生成 执法 所 用 的 档案 (如 可 能 涉及 严重 犯罪 或 渗透 敏感 政府 系统 的 任何 案件 ) 。 

加 有 防护 措施 以 确保 合同 责任 的 履行 。 在 要 求 提供 信息 安全 事件 管理 服务 的 合同 中 ， 
例如 合同 中 对 事件 响应 时 间 提 不 提出 要 求 , 组 织 都 应 确保 提供 适当 的 信息 安全 ,以 便 在 任何 
情况 下 ,这 些 责任 都 能 得 到 履行 。 

@ 处 理 与 策略 和 规程 相关 的 法 律 问题 。 应 检查 与 信息 安全 事件 管理 方案 相关 的 策略 
和 规程 是 否 存 在 法 律 法 规 问 题 , 例 如 是 否 有 对 事件 责任 人 采取 纪律 处 罚 和 /或 法 律 行动 的 有 


关 声 明 。 

@ 检查 免责 声明 的 法 律 有 效 性 。 对 于 有 关 信 息 事 件 管理 组 以 及 任何 外 部 支持 人 员 的 
行动 的 所 有 免责 声明 , 均 应 检查 其 法 律 有 效 性 。 

@ 与 外 部 支持 人 员 的 合同 涵盖 要 求 的 各 个 方面 。 对 于 与 任何 外 部 支持 人 员 ( 如 来 自 某 
CERT) 签 订 的 合同 , 均 应 就 免责 .不 泄露 .服务 可 用 性 、 错 误 建议 的 后 果 等 要 求 进行 全 面 
检查 。 

@ 强制 性 不 泄露 协议 。 必 要 时 ,应 要 求 信息 安全 事件 管理 组 的 成 员 签订 不 泄露 协议 。 

@ 阐明 执法 要 求 。 根 据 相 关 执法 机 构 的 要 求 , 对 需要 提供 的 信息 安全 事件 管理 方案 相 
关 的 问题 进行 明确 说 明 。 例 如 ,可 能 需要 阐明 如 何 按 法 律 的 最 低 要 求 记录 事件 以 及 事件 文 
件 应 保存 多 长 时 间 。 

@ 明确 责任 。 必 须 将 潜在 的 责任 问题 以 及 应 该 到 位 的 相关 防护 措施 曾 述 清楚 。 以 下 
是 可 能 与 责任 问题 相关 的 几 个 例子 : 事件 可 能 对 另 一 个 组 织造 成 影响 (如 泄露 了 共享 信 
息 ) ,而 该 组 织 却 没有 及 时 得 到 通知 ,从 而 对 其 产生 负面 影响 ; 发 现 产 品 的 新 脆弱 性 后 没有 
通知 供应 商 ,随后 发 生 与 该 脆弱 性 相关 的 重大 事件 ,给 一 个 或 多 个 其 他 组 织造 成 严重 影响 ; 
按照 国家 相关 法 律 法 规 ,对 于 像 严 重 犯罪 ,或 者 敏感 的 政府 系统 或 部 分 关键 国家 基础 设施 被 
渗透 之 类 案件 ,组 织 没 有 按 要 求 向 执法 机 关 报告 或 生成 档案 文件 ; 信息 的 泄露 表明 某 个 人 
或 组 织 与 攻击 相关 联 , 这 可 能 会 危害 所 涉及 的 个 人 或 组 织 的 声誉 和 业务 ; 信息 的 泄露 表明 
可 能 是 软件 的 某 个 环节 出 了 问题 ,但 随后 发 现 这 并 不 属实 。 

四 阐明 具体 规章 要 求 。 凡 是 有 具体 规章 要 求 的 地 方 ,都 应 将 事件 报告 给 指定 部 门 。 

@ 保证 司法 起 诉 或 内 部 处 罚 规程 取得 成 功 。 无 论 攻 击 是 技术 性 的 还 是 物理 的 ,都 应 采 
取 适 当 的 信息 安全 防护 措施 ,以 便 成 功 起 诉 攻击 者 ,或 者 根据 内 部 规程 惩罚 攻击 者 。 为 了 达 
到 目的 ,就 必须 以 法 院 或 其 他 处 罚 机 关 所 接受 的 方式 收集 证 据 。 证 据 必 须 显 示 : 记录 是 完 
整 的 , 且 没 有 经 过 任何 算 改 ; 可 证 明 电子 证 据 的 复制 件 与 原件 完全 相同 ; 收集 证 据 的 任何 
IT 系统 在 记录 证 据 时 均 运行 正常 。 

四 阐明 与 监视 技术 相关 的 法 律 问题 。 必 须 依照 国家 相关 的 法 律 阐明 使 用 监视 技术 的 
目的 。 有 必要 让 人 们 知道 存在 对 其 活动 的 监视 ,包括 通过 监控 技术 进行 的 监视 行动 ,这 十 分 
重要 。 采 取 行 动 时 需要 考虑 的 因素 有 : 什么 人 /哪些 活动 受 监 视 、 如 何 对 他 们 /它们 进行 监 
视 以 及 何 时 进行 监视 。 有 关 入 侵 检测 系统 中 监视 /监控 活动 内 容 的 描述 可 参见 ISO/ 
IECTR 18043。 

加 制定 和 传达 可 接受 的 使 用 策略 。 组 织 应 对 可 接受 的 做 法 /用 途 做 出 明确 规定 ,形成 
正式 文件 并 传达 给 所 有 相关 用 户 。 例 如 ,应 使 用 户 了 解 可 接受 的 使 用 策略 , 且 要 求 用 户 填 写 
书面 确认 ,表明 他 们 在 参加 组 织 或 被 授予 信息 系统 访问 权时 了 解 并 接受 该 策略 。 

(4) 运行 效率 和 质量 。 结 构 化 的 信息 安全 事件 管理 的 运行 效率 和 质量 取决 于 诸多 因 
素 , 包 括 通知 事件 的 责任 .通知 的 质量 .易于 使 用 的 程度 .速度 和 培训 。 其 中 有 些 因素 与 确保 
用 户 了 解 信息 安全 事件 管理 的 价值 和 积极 报告 事件 相关 。 至 于 速度 ,报告 事件 所 花费 的 时 
间 不 是 唯一 因素 ,还 包括 它 处 理 数据 和 分 发 处 理 的 信息 所 用 的 时 间 。 应 通过 信息 安全 事件 
管理 人 员 的 支持 “热线 "来 补充 适当 的 意识 和 培训 计划 ,以便 将 事件 延迟 报告 的 时 间 降 至 
最 低 。 

(5) 匿名 性 。 匿 名 性 问题 是 关系 到 信息 安全 事件 管理 成 功 的 基本 问题 。 应 该 使 用 户 相 
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信 , 他 们 提供 的 信息 安全 事件 的 相关 信息 受到 完全 的 保护 ,必要 时 还 会 进行 相应 处 理 , 从 而 
使 这 些 信息 与 用 户 所 在 组 织 或 部 门 没有 任何 关联 ,除非 协议 中 有 相关 规定 。 信 息 安全 事件 
管理 方案 应 该 阐明 这 些 情 况 , 即 必须 确保 在 特定 条 件 下 报告 潜在 信息 安全 事件 的 人 员 或 相 
关 方 的 匿名 性 。 各 组 织 应 作出 规定 ,明确 说 明报 告 潜 在 信息 安全 事件 的 个 人 或 相关 方 是 否 
有 匿名 要 求 。ISRT 可 能 需要 获得 另外 的 、 并 非 由 事件 报告 人 或 报告 方 最 初 转达 的 信息 。 
此 外 ,有 关 信 息 安 全 事件 本 身 的 重要 信息 可 从 第 一 个 发 现 该 事件 的 人 员 处 获得 。 

(6) 保密 性 。 信 息 安全 事件 管理 方案 中 可 能 包含 敏感 信息 ,而 处 理事 件 的 相关 人 员 可 
能 需要 运用 这 些 敏 感 信息 。 那 么 在 处 理 过 程 中 ,或 者 信息 应 2 是 匿名 的 ”, 或 者 有 权 访 问 信 
息 的 人 员 必 须 签订 保密 性 协议 。 如 果 信息 安全 事态 是 由 一 个 一 般 性 问题 管理 系统 记录 下 来 
的 , 则 可 能 不 得 不 忽略 敏感 细节 。 此 外 ,信息 安全 事件 管理 方案 应 该 作出 规定 , 失 仙 将 事件 
通报 给 媒体 .业务 伙伴 、 客 户 、 执 法 机 关 和 普通 公众 等 外 部 方 。 

(7) 可 信和 运行 。 任 何 信息 安全 事件 管理 组 应 该 能 够 有 效 地 满足 本 组 织 在 功能 .财务 .法 
律 和 策略 等 方面 的 需要 ,并 能 在 管理 信息 安全 事件 的 过 程 中 发 挥 组 织 的 判断 力 。 信 息 安全 
事件 管理 组 的 功能 还 应 独立 地 进行 审计 ,以 确定 所 有 的 业务 要 求 有 效 地 得 以 满足 。 此 外 , 实 
现 独立 性 的 另 一 个 好 办 法 是 将 事件 响应 报告 链 与 常规 运行 管理 分 离 , 且 任命 一 位 高 级 管理 
人 员 直 接 负责 事件 响应 的 管理 工作 。 财 务 运作 方面 也 应 与 其 他 财务 分 离 ,以 免 受 到 不 当 
影响 。 

(8) 系统 化 分 类 。 一 种 反映 信息 安全 事件 管理 方法 总 体 结构 的 通用 系统 化 分 类 是 提供 
一 致 结果 的 关键 因素 之 一 。 这 种 系统 化 分 类 连同 通用 的 度量 机 制 和 标准 的 数据 库 结构 一 
起 ,将 提供 比较 结果 改进 警报 信息 和 生成 信息 系统 威胁 及 脆弱 性 的 更 加 准确 的 视图 的 
能 力 。 


4. 规划 和 准备 


信息 安全 事件 管理 的 规划 和 准备 阶段 应 着 重 于 : 将 信息 安全 事态 和 事件 的 报告 及 处 理 
策略 ,以 及 相关 方案 (包括 相关 规程 ) 形 成 正式 文件 ; 安排 合适 的 事件 管理 组 织 结构 和 人 员 ; 
制定 安全 意识 简报 和 培训 计划 。 这 一 阶段 的 工作 完成 后 ,组 织 应 为 恰当 地 管理 信息 安全 事 
件 作 好 充分 准备 。 

1) 概述 

要 将 信息 安全 事件 管理 方案 投入 运行 使 用 并 取得 良好 的 效率 和 效果 ,在 必要 的 规划 之 
后 需要 完成 大 量 准备 工作 。 其 中 包括 : 

(1) 制定 和 发 布 信息 安全 事件 管理 策略 并 获得 高 级 管理 层 的 承诺 。 

(2) 制定 详细 的 信息 安全 事件 管理 方案 并 形成 正式 文件 。 方 案 中 包括 以 下 主题 : 用 于 
给 事件 “ 定 级 ”的 信息 安全 事件 严重 性 衡量 尺度 。 可 根据 事件 对 组 织 业 务 运 行 的 实际 或 预计 
负面 影响 的 大 小 ,将 事件 划分 为 “严重 "和 “轻微 "两 个 级 别 ; 信息 安全 事态 和 事件 报告 单 、 相 
关 文 件 化 规程 和 措施 ,连同 使 用 数据 和 系统 、 服 务 和 /或 网 络 备份 以 及 业务 连续 性 计划 的 标 
准 规程 ; 带 有 文件 化 的 职责 的 ISIRT 的 运行 规程 ,以 及 执行 各 种 活动 的 被 指定 人 员 的 角色 
的 分 配 ,例如 包括 : 在 事先 得 到 相关 IT 和 /或 业务 管理 层 同 意 的 特定 情况 下 ,关闭 受 影响 的 
系统 、 服 务 和 /或 网 络 ; 保持 受 影响 系统 、 服 务 和 /或 网 络 的 连接 和 运行 ; 监视 受 影响 系统 、 
服务 和 /或 网 络 的 进出 及 内 部 数据 流 ; 根据 系统 、 服 务 和 /或 网 络 安全 策略 启动 常规 备份 和 
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业务 连续 性 规划 规程 及 措施 ; 监控 和 维护 电子 证 据 的 安全 保存 ,以 备 法 律 起 诉 或 内 部 惩罚 
之 用 ; 将 信息 安全 事件 细节 传达 给 内 部 和 外 部 相关 人 员 或 组 织 。 

(3) 测试 信息 安全 事件 管理 方案 及 其 过 程 和 规程 的 使 用 。 

(4) 更 新 信息 安全 和 风险 分 析 及 管理 策略 ,以 及 具体 系统 、 服 务 或 网 络 的 信息 安全 策 
略 , 包 括 对 信息 安全 事件 管理 的 引用 ,确保 在 信息 安全 事件 管理 方案 输出 的 背景 下 定期 评审 
这 些 策略 。 

(5) 建立 ISIRT ,并 为 其 成 员 设计 、 开 发 和 提供 合适 的 培训 计划 。 

(6) 通过 技术 和 其 他 手段 支持 信息 安全 事件 管理 方案 (以 及 ISRT 的 工作 ) 。 

(7) 设计 和 开发 信息 安全 事件 管理 安全 意识 计划 并 将 其 分 发 给 组 织 内 所 有 员工 。 以 下 
各 节 逐 条 描述 了 上 述 各 项 活动 ,其 中 包括 所 要 求 的 每 个 文件 的 内 容 。 

2) 信息 安全 事件 管理 策略 

(1) 目的 。 信 息 安全 事件 管理 策略 面向 对 组 织 信息 系统 和 相关 位 置 具 有 合法 访问 权 的 
每 一 位 人 员 。 

(2) 读者 。 信 息 安 全 事件 管理 策略 应 经 组 织 高 级 执行 官 的 批准 ,并 得 到 组 织 所 有 高 级 
管理 层 确认 的 文件 化 的 承诺 。 应 对 所 有 的 组 织 成 员 及 组 织 的 合同 商 可 用 ,还 应 在 信息 安全 
意识 简报 和 培训 中 有 所 提 及 。 

(3) 内 容 。 信 息 安 全 事件 管理 策略 的 内 容 应 涉及 以 下 主题 : 

Q@ 信息 安全 事件 管理 对 于 组 织 的 重要 性 ,以 及 高 级 管理 层 对 信息 安全 事件 管理 及 其 相 
关 方 案 作 出 的 承诺 。 

@ 对 信息 安全 事态 发 现 、 报 告 和 相关 信息 收集 的 概述 ,以 及 如 何 将 这 些 信息 用 于 确定 
信息 安全 事件 。 概 述 中 应 包含 对 信息 安全 事态 的 可 能 类 型 ,以 及 如 何 报告 .报告 什么 、 向 哪 
个 部 门 以 及 向 谁 报告 信息 安全 事态 等 内 容 的 归纳 ,还 包括 如 何 处 理 全 新 类 型 的 信息 安全 
事态 。 

@ 信息 安全 事件 评估 的 概述 ,其 中 包括 具体 负责 的 人 员 、 必 须 采 取 的 行动 以 及 通知 和 
上 报 等 。 

@ 确认 一 个 信息 安全 事态 为 信息 安全 事件 后 所 应 采取 的 行动 的 概要 ,其 中 应 该 包括 : 
立即 响应 ; 法 律 取证 分 析 ; 向 所 涉及 人 员 和 相关 第 三 方 传达 ; 考虑 信息 安全 事件 是 否 在 可 
控制 状态 下 ; 后 续 响应 ;“ 危 机 求助 ”发 起 ; 上 报 标准 ; 具体 负责 的 人 员 。 

@ 确保 所 有 活动 都 得 到 恰当 记录 以 备 日 后 分 析 , 以 及 为 确保 电子 证 据 的 安全 保存 而 进 
行 持 续 监控 ,以 供 法 律 起 诉 或 内 部 处 罚 。 

@ 信息 安全 事件 得 到 解决 后 的 活动 ,包括 事后 的 总 结 经 验 教训 和 改进 过 程 。 

@ 方案 文件 (包括 规程 ) 保 存 位 置 的 详细 信息 。 

ISRT 的 概述 。 围 绕 以 下 主题 : 一 是 ISIRT 的 组 织 结构 和 关键 人 员 的 身份 ,其 中 包 
括 由 谁 负 责 以 下 工作 : 向 高 级 管理 层 简单 说 明 事 件 的 情况 ; 处 理 询问 ,发 起 后 续 工 作 等 ; 对 
外 联系 (必要 时 )。 二 是 规定 了 ISIRT 的 具体 工作 以 及 ISIRT 由 谁 授权 的 信息 安全 管理 章 
程 。 章 程 至 少 应 该 包括 ISIRT 的 任务 声明 .工作 范围 定义 以 及 有 关 ISIRT 董事 会 级 发 起 人 
及 其 授权 的 详细 情况 。 三 是 着 重 描述 ISIRT 核心 活动 的 任务 声明 。 要 想 成 为 一 个 真正 的 
ISIRT ,该 小 组 应 该 支持 对 信息 安全 事件 的 评估 、 响 应 和 管理 工作 ,并 最 终 得 出 成 功 的 结论 。 
该 小 组 的 目标 和 目的 尤为 重要 ,需要 有 清晰 明确 的 定义 。 四 是 定义 ISIRT 的 工作 范围 。 通 
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常 一 个 组 织 的 ISIRT 工作 范围 应 包括 组 织 所 有 的 信息 系统 .服务 和 网 络 。 有 的 组 织 可 能 会 
出 于 某 种 原因 而 将 ISIRT 的 工作 范围 规定 得 较 小 ,如 果 是 这 种 情况 ,应 该 在 文件 中 清楚 地 
阐述 ISIRT 工作 范围 之 内 和 之 外 的 对 象 。 五 是 作为 发 起 者 并 授权 ISIRT 行动 的 高 级 执行 
官 /董事 会 成 员 / 高 级 管理 人 员 的 身份 ,以 及 ISIRT 被 授权 的 级 别 。 了 解 这 些 有 助 于 组 织 所 
有 人 员 理 解 ISIRT 的 背景 和 设置 情况 , 且 对 于 建立 对 ISIRT 的 信任 至 关 重 要 。 应 该 注意 的 
是 ,在 这 些 详细 信息 公布 之 前 ,应 该 从 法 律 角度 对 其 进行 审查 。 在 有 些 情况 下 ,泄露 一 个 小 
组 的 授权 信息 会 使 该 小 组 的 可 靠 性 声明 失效 。 

@ 信息 安全 事件 管理 安全 意识 和 培训 计划 的 概述 。 

@@ 必须 阐明 的 法 律 法 规 问题 的 总 结 。 

3) 信息 安全 事件 管理 方案 

(1) 目的 。 信 息 安 全 事件 管理 方案 的 目的 是 提供 一 份 文件 ,对 事件 处 理 和 事件 沟通 的 
过 程 和 规程 作 详 细 说 明 。 一 旦 发 现 信 息 安全 事态 ,信息 安全 事件 管理 方案 就 开始 起 作用 。 
该 方案 被 用 作 以 下 活动 的 指南 : 对 信息 安全 事态 作出 响应 ; 确定 信息 安全 事态 是 否 为 信息 
安全 事件 ; 对 信息 安全 事件 进行 管理 ,并 得 出 结论 ; 总 结 经 验 教 训 , 并 确定 方案 和 /或 总 体 
的 安全 需要 改进 的 地 方 ; 执行 已 确定 的 改进 工作 。 

(2) 读者 。 应 将 信息 安全 事件 管理 方案 告示 给 组 织 全 体 员 工 , 因 此 ,包括 负责 以 下 工作 
的 员工 : 发 现 和 报告 信息 安全 事态 ,可 以 是 组 织 内 任何 员工 ,无 论 是 正式 工 还 是 合同 工 ; 评 
估 和 响应 信息 安全 事态 和 信息 安全 事件 ,以 及 事件 解决 后 必要 的 经 验 教训 总 结 ,改进 信息 安 
全 和 修订 信息 安全 事件 管理 方案 的 工作 。 其 中 包括 运行 支持 组 成 员 、ISRT 管理 层 、 公 关 部 
人 员 和 法 律 代 表 。 还 应 该 考虑 任何 第 三 方 用 户 , 以 及 报告 信息 安全 事件 及 相关 脆弱 性 的 第 
三 方 组 织 、 政 府 和 商业 信息 安全 事件 和 脆弱 性 信息 提供 组 织 。 

(3) 内 容 。 信 息 安全 事件 管理 方案 文件 的 内 容 应 包括 : 

@ 信息 安全 事件 管理 策略 的 概述 。 

@ 整个 信息 安全 事件 管理 方案 的 概述 。 

@ 与 以 下 内 容 相关 的 详细 过 程 和 规程 以 及 相关 工具 和 衡量 尺度 的 信息 : 一 是 规划 和 
准备 。 发 现 和 报告 发 生 的 信息 安全 事态 (通过 人 工 或 自动 方式 ); 收集 有 关 信 息 安全 事态 的 
信息 ; 使 用 组 织 内 认可 的 事态 /事件 严重 性 衡量 尺度 进行 信息 安全 事态 评估 ,确定 是 否 可 将 
它们 重新 划分 为 信息 安全 事件 。 二 是 使 用 。 将 发 生 的 信息 安全 事件 或 任何 相关 细节 传达 给 
其 他 内 部 和 外 部 人 员 或 组 织 ; 根据 分 析 结果 和 已 确认 的 严重 性 级 别 启动 立即 响应 ,其 中 可 
能 包括 启动 恢复 规程 和 /或 向 相关 人 员 传 达 ; 按 要 求 和 相关 的 信息 安全 事件 的 严重 性 级 别 
进行 法 律 取 证 分 析 。 必 要 时 更 改 事件 级 别 ; 确定 信息 安全 事件 是 否 处 于 可 控制 状态 ; 做 出 
任何 必要 的 进一步 响应 ,包括 在 后 续 时 间 可 能 需要 做 出 的 响应 ; 如 果 信 息 安全 事件 不 在 控 
制 下 ,发 起 “危机 求助 "行动 ; 按 要 求 上 报 便于 进一步 评估 和 /或 决策 ; 确保 所 有 活动 被 恰当 
记录 ,以 便于 日 后 分 析 ; 更 新 信息 安全 事态 /事件 数据 库 。 三 是 评审 。 按 要 求 进行 进一步 法 
律 取证 分 析 ; 总 结 信息 安全 事件 的 经 验 教训 并 形成 文件 ; 根据 所 得 的 经 验 教训 ,评审 和 确 
定 信 息 安全 的 改进 ; 评审 相关 过 程 和 规程 在 响应 .评估 和 恢复 每 个 信息 安全 事件 时 的 效率 ， 
根据 所 总 结 的 经 验 教训 确定 信息 安全 事件 管理 方案 在 总 体 上 需要 改进 的 地 方 ; 更 新 信息 安 
全 事态 /事件 数据 库 。 四 是 改进 。 根 据 经 验 教训 进行 如 下 改进 : 信息 安全 风险 分 析 和 管理 
结果 ; 信息 安全 事件 管理 方案 ; 整体 的 安全 ,实施 新 的 和 /或 经 过 改进 的 防护 措施 。 


@ 事态 /事件 严重 性 衡量 尺度 的 细节 以 及 相关 指南 。 

加 在 每 个 相关 过 程 中 决定 是 否 需 要 上 报 和 向 谁 报告 的 指南 ,及 其 相关 规程 。 任 何 负责 
信息 安全 事态 或 事件 评估 工作 的 人 员 都 应 从 信息 安全 事件 管理 方案 文件 提供 的 指南 中 知 
晓 , 在 正常 情况 下 ,什么 时 候 需 要 向 上 报告 以 及 向 谁 报告 。 此 外 ,还 会 有 一 些 不 可 预见 的 情 
况 可 能 也 需要 向 上 报告 。 例 如 ,一 个 轻微 的 信息 安全 事件 如 果 处 理 不 当 或 在 一 周 之 内 没有 
处 理 完 毕 ,可 能 会 发 展 成 重大 事件 或 “危机 ?情况 。 指 南 应 定义 信息 安全 事态 和 事件 的 类 型 、 
上 报 类 型 和 由 谁 负责 上 报 。 

@ 确保 所 有 活动 被 记录 在 相应 表单 中 ,以 及 日 志 分 析 由 指定 人 员 完 成 所 遵守 的 规程 。 

@ 确保 所 维护 的 变更 控制 制度 包括 了 信息 安全 事态 和 事件 追踪 、 信 息 安 全 事件 报告 更 
新 以 及 方案 本 身 更 新 的 规程 和 机 制 。 

@ 法 律 取证 分 析 的 规程 。 

@ 有 关 使 用 入 侵 检测 系统 (IDS) 的 规程 和 指南 ,确保 相关 法 律 法 规 问题 都 得 到 阐述 。 
这 些 指 南 中 应 包含 对 攻击 者 采取 监视 行动 利 油 问题 的 讨论 。 有 关 IDS 的 进一步 信息 可 参 
见 ISO/IEC TR 15947《IT 入 侵 检 测 框架 》 和 ISO/IEC TR 18043《 选 择 、 配 置 和 操作 IDS 指南 》。 

四 方案 的 组 织 结构 。 

加 整个 ISIRT 及 各 成 员 的 授权 范围 和 责任 。 

@ 重要 的 合同 信息 。 

(4) 规程 。 在 信息 安全 事件 管理 方案 开始 运行 之 前 ,必须 有 形成 正式 文件 并 经 过 检查 
的 规程 可 供 使 用 ,这 一 点 十 分 重要 。 每 个 规程 文件 应 指明 其 使 用 和 管理 的 负责 人 员 ,适当 时 
指明 运行 支持 组 和 /或 ISIRT。 这 样 的 规程 应 包含 确保 电子 证 据 的 收集 和 安全 保存 ,以 及 将 
电子 证 据 在 不 间断 监控 下 妥善 保管 以 备 法 律 起 诉 或 内 部 处 罚 之 需 等 内 容 。 而 且 应 有 形成 文 
件 的 规程 不 仅 包括 运行 支持 组 和 ISIRT 的 活动 ,同时 还 涉及 法 律 取 证 分 析 和 “危机 求助 ” 活 
动 , 如 果 其 他 文件 不 包括 这 些 内 容 的 话 。 显 然 , 形 成 文件 的 规程 应 该 完全 符合 信息 安全 事件 
管理 策略 和 其 他 信息 安全 事件 管理 方案 文件 。 需 要 重点 理解 的 是 ,并 非 所 有 规程 都 必须 对 
外 公开 。 例 如 ,并 非 组 织 内 所 有 员工 都 需要 在 了 解 了 ISIRT 的 内 部 操作 规程 之 后 才能 与 之 
进行 协作 。ISIRT 应 该 确保 可 “对 外 公开 ”的 指南 ,其 中 包括 从 信息 安全 事件 分 析 中 得 出 的 
信息 ,以 易于 使 用 的 方式 存在 ,如 将 其 置 于 组 织 的 内 部 网 上 。 此 外 ,将 信息 安全 事件 管理 方 
案 的 某 些 细节 仅 限 于 少数 相关 人 员 掌 握 可 以 防范 “内 贼 " 算 改 调查 过 程 。 例 如 ,如 果 一 个 盗 
用 公款 的 银行 职员 对 方案 的 细节 很 清楚 ,他 或 她 就 能 更 好 地 隐藏 自身 的 行为 ,或 妨碍 信息 安 
全 事件 的 发 现 和 调查 及 事件 恢复 工作 的 进行 。 操 作 规 程 的 内 容 取决 于 许多 准则 ,尤其 是 那 
些 与 已 知 的 潜在 信息 安全 事态 和 事件 的 性 质 以 及 可 能 涉及 的 信息 系统 资产 类 型 及 其 环境 相 
关 的 准则 。 因 此 ,一 个 操作 规程 可 能 与 某 一 特定 事件 类 型 或 实际 上 与 某 一 类 型 产品 乃至 具 
体 产品 相关 联 。 每 个 操作 规程 都 应 清楚 注 明 需要 采取 哪些 步骤 以 及 由 谁 执行 。 它 应 该 是 外 
部 人 员 和 内 部 人 员 经 验 的 反映 。 应 有 操作 规程 来 处 理 已 知 类 型 的 信息 安全 事态 和 事件 。 但 
还 应 有 针对 未 知 类 型 信息 安全 事态 或 事件 的 操作 规程 。 用 于 针对 此 种 情况 的 操作 规程 需 曾 
明 以 下 要 求 : 处 理 这 类 “例外 ”的 报告 过 程 ; 及 时 得 到 管理 层 批 准 以 免 响 应 延迟 的 相关 指 
南 : 在 没有 正式 批准 过 程 的 情况 下 预 授权 的 决策 代表 。 

(5) 方案 测试 。 应 安排 信息 安全 事件 管理 过 程 和 规程 的 定期 检查 和 测试 ,以 凸显 可 能 
会 在 管理 信息 安全 事态 和 事件 过 程 中 出 现 的 潜在 缺陷 和 问题 。 在 前 一 次 响应 评审 产生 的 任 
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何 变更 生效 之 前 ,应 对 其 进行 彻底 检查 和 测试 。 

4) 信息 安全 和 风险 管理 策略 

(1) 目的 。 在 总 体 信息 安全 和 风险 管理 策略 中 ,以 及 具体 系统 、 服 务 和 网 络 的 信息 安全 
策略 中 包括 信息 安全 事件 管理 方面 的 内 容 可 达到 以 下 目的 : 描述 信息 安全 事件 管理 ,尤其 
是 信息 安全 事件 报告 和 处 理 方案 的 重要 性 ; 表明 高 级 管理 层 针对 适当 准备 和 响应 信息 安全 
事件 的 需要 ,对 信息 安全 事件 管理 方案 作出 的 承诺 ; 确保 各 项 策略 的 一 致 性 ; 确保 对 信息 
安全 事件 作出 有 计划 的 、 系 统 的 和 冷静 的 响应 ,从 而 将 事件 的 负面 影响 降 至 最 低 。 

(2) 内 容 。 应 对 总 体 的 信息 安全 和 风险 管理 策略 ,以 及 具体 系统 、 服 务 或 网 络 信 息 安 全 
策略 进行 更 新 ,以 便 它们 清晰 阐明 总 体 的 信息 安全 事件 管理 策略 及 相关 方案 。 应 有 相关 章 
节 曾 述 高 级 管理 层 的 承诺 并 概述 以 下 内 容 : 策略 ; 方案 的 过 程 和 相关 基础 设施 ; 检查 、 报 
告 .评估 和 管理 事件 的 要 求 , 并 明确 指定 负责 授权 和 /或 执行 某 些 关 键 行动 的 人 员 。 此 外 , 策 
略 应 要 求 建立 适当 的 评审 机 制 , 以 确保 从 信息 安全 事件 发 现 , 监 视 和 解决 过 程 中 得 出 的 任何 
信息 可 被 用 于 保证 总 体 信息 安全 和 风险 管理 以 及 具体 系统 、 服 务 或 网 络 的 信息 安全 策略 的 
持续 有 效 。 

5) ISIRT 的 建立 

(1) 目的 。 建 立 ISIRT 的 目的 是 为 评估 和 响应 信息 安全 事件 并 从 中 总 结 经 验 教训 等 工 
作 提 供 具 备 合格 人 员 的 组 织 结 构 , 并 提供 这 方面 工作 所 必要 的 协调 ,管理 .反馈 和 沟通 。 
ISIRT 不 仅 可 以 降低 信息 安全 事件 带 来 的 物理 和 经 济 损失 ,还 能 降低 可 能 因 信息 安全 事件 
而 造成 的 组 织 声誉 损害 。 

(2) 成 员 和 结构 。ISIRT 的 规模 、 结 构 和 组 成 应 该 与 组 织 的 规模 和 结构 相对 应 。 尽 管 
ISIRT 可 以 组 成 一 个 独立 的 小 组 或 部 门 , 但 其 成 员 还 可 以 兼任 其 他 职务 ,因此 鼓励 从 组 织 内 
各 个 部 门 中 挑选 成 员 组 成 ISIRT。 许 多 情况 下 ,ISIRT 是 由 一 名 高 级 管理 人 员 所 领导 的 一 
个 虚拟 小 组 。 该 高 级 管理 人 员 可 以 得 到 各 特定 主题 的 专业 人 员 ( 如 擅长 处 理 恶 意 代 码 攻击 
的 专业 人 员 ) 支 持 。ISIRT 可 根据 所 发 生 信 息 安 全 事件 的 类 型 召唤 相关 人 员 前 来 处 理 紧 急 
情况 。 在 规模 较 小 的 组 织 中 ,一 名 成 员 还 可 以 承担 多 种 ISIRT 角色 。ISIRT 还 可 由 来 自 组 
织 不 同 部 门 的 人 员 组 成 。 

ISIRT 成 员 应 该 便于 联系 。 因 此 ,每 个 成 员 及 其 备用 人 员 的 姓名 和 联系 方式 都 应 该 在 
组 织 内 进行 登记 。 例 如 ,一 些 必要 的 细节 应 清晰 记 入 信息 安全 事件 管理 方案 的 文件 中 ,包括 
规程 文件 和 报告 单 ,但 可 以 不 在 策略 声明 文件 中 有 所 记载 。ISIRT 管理 者 应 指派 授权 代表 
以 对 如 何 处 理事 件 做 出 立即 决策 : 通常 有 一 条 独立 于 正常 业务 运行 的 专线 用 于 向 高 级 管理 
层 报告 情况 ; 确保 ISIRT 全 体 成 员 具 有 必需 的 知识 和 技能 水 平 ,并 确保 他 们 的 知识 和 技能 
水 平 可 以 得 到 长 期 保持 ; 指派 小 组 中 最 适合 的 成 员 负 责 每 次 事件 的 调查 工作 。 

(3) 与 组 织 其 他 部 门 的 关系 。ISIRT 管理 者 及 成 员 必须 具有 某 种 等 级 授权 ,以 便 采取 
必要 措施 响应 信息 安全 事件 。 但 是 ,对 于 那些 可 能 给 整个 组 织造 成 经 济 上 或 声誉 上 的 负面 
影响 的 措施 , 则 应 得 到 高 级 管理 层 的 批准 。 为 此 ,在 信息 安全 事件 管理 策略 和 方案 中 必须 详 
细 说 明 授 予 ISIRT 组 长 适当 权限 ,使 其 报告 严重 的 信息 安全 事件 。 应 对 媒体 的 规程 和 责任 
也 应 得 到 高 级 管理 层 批准 并 形成 文件 。 这 些 规程 应 规定 : 由 组 织 中 哪个 部 门 负责 接待 媒 
体 ; 该 部 门 如 何 就 这 一 问题 与 ISIRT 相互 交换 信息 。 
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(4) 与 外 部 方 的 关系 。ISIRT 应 与 外 部 方 建立 适当 关系 。 外 部 方 可 能 包括 签订 合同 的 
外 部 支持 人 员 , 如 来 自 CFRT; 外 部 组 织 的 ISIRT 或 计算 机 事件 响应 组 ,或 CERTT; 执法 
机 关 ; 其 他 应 急 机 构 ; 相关 的 政府 部 门 ; 司法 人 员 ; 公共 关系 官员 和 /或 媒体 记者 ; 业务 伙 
伴 ; 顾客 ; 普通 公众 。 

6) 技术 和 其 他 支持 

在 已 经 取得 、 准 备 并 测试 了 所 有 必要 的 技术 和 其 他 支持 方式 后 ,要 对 信息 安全 事件 作出 
快速 ` 有 效 的 响应 会 变 得 更 加 容易 。 这 包括 访问 组 织 资产 的 详细 情况 ,并 了 解 它们 与 业务 功 
能 之 间 关 联 方面 的 信息 ; 查阅 业务 连续 性 战略 及 相关 计划 文件 ; 文件 记录 和 发 布 的 沟通 过 
程 ; 使 用 电子 信息 安全 事态 /事件 数据 库 和 技术 手段 快速 建立 和 更 新 数据 库 ,分 析 其 中 的 信 
息 , 以 便于 对 事件 作出 响应 ; 为 信息 安全 事态 /事件 数据 库 做 好 充分 的 业务 连续 性 安排 。 用 
来 快速 建立 和 更 新 数据 库 ,分 析 其 信息 以 便于 对 信息 安全 事件 作出 响应 的 技术 手段 应 该 支 
持 快速 获得 信息 安全 事态 和 事件 报告 ; 通过 适当 方式 通知 已 事先 选 定 的 人 员 ,因而 要 求 对 
可 靠 的 联系 信息 数据 库 , 以 及 适当 时 以 安全 方式 将 信息 发 送 给 相关 人 员 的 设施 进行 维护 ; 
对 已 评估 的 风险 采取 适当 的 预防 措施 ,以 确保 电子 通信 不 会 在 系统 .服务 和 网 络 遭 受 攻击 时 
被 窃听 ; 对 已 评估 的 风险 采取 适当 的 预防 措施 ,以 确保 电子 通信 在 系统 .服务 和 网 络 遭 受 攻 
击 时 仍然 可 用 ; 确保 收集 到 有 关 信 息 系统 .服务 和 /或 网 络 的 所 有 数据 以 及 经 过 处 理 的 所 有 
数据 ; 如 果 根 据 已 得 到 评估 的 风险 采取 措施 ,利用 通过 加 密 的 完整 性 控制 措施 可 帮助 确定 
系统 .服务 和 /或 网 络 以 及 数据 是 否 发 生 了 变动 ,以 及 它们 的 哪些 部 分 发 生 了 变动 ; 便于 对 
已 收集 信息 的 归档 和 安全 保存 ; 准备 将 数据 打印 输出 ,其 中 包括 显示 事件 过 程 、 解 决 过程 和 
证 据 保管 链 的 数据 ; 根据 相关 业务 连续 性 计划 ,通过 以 下 方式 将 信息 系统 .服务 和 /或 网 络 
恢复 正常 运行 : 良好 的 备份 规程 ; 清晰 可 靠 的 备份 ; 备份 测试 ; 恶意 代码 控制 ; 系统 和 应 用 
软件 的 原始 介质 ; 可 启动 介质 ; 清晰 、 可 靠 和 最 新 的 系统 和 应 用 程序 补丁 。 

一 个 受到 攻击 的 信息 系统 、 服 务 或 网 络 可 能 无 法 正常 运转 。 因 此 ,只 要 可 能 ,并 考虑 到 
已 受 评估 的 风险 ,响应 信息 安全 事件 必需 的 任何 技术 手段 都 不 应 依赖 于 组 织 的 “主流 ”系统 、 
服务 或 网 络 的 运行 。 如 果 可 能 ,它们 应 该 完全 独立 。 所 有 技术 手段 都 应 认真 挑选 .正确 实施 
和 定期 测试 (包括 对 所 做 备份 的 测试 ) 。 应 指出 的 是 ,本 节 所 描述 的 技术 手段 不 包括 那些 用 
来 直接 检测 信息 安全 事件 和 入 侵 并 能 自动 通知 相关 人 员 的 技术 手段 。 有 关 这 些 技术 内 容 的 
描述 可 参见 ,ISO/IECTR 15947《 信 息 技术 安全 技术 IT 入 侵 检测 框架 ) 以 及 ISOVIEC 
13335《 信 息 技 术 安全 技术 信息 和 通信 技术 安全 管理 )。 

7) 意识 和 培训 

信息 安全 事件 管理 是 一 个 过 程 , 它 不 仅 涉及 技术 ,而 且 涉 及 人 ,因此 应 该 得 到 组 织 内 有 
适当 信息 安全 意识 并 经 过 培训 的 员工 支持 。 组 织 内 所 有 人 员 的 意识 和 参与 ,对 于 一 个 结构 
化 的 信息 安全 事件 管理 方法 的 成 功 来 说 至 关 重 要 。 鉴 于 此 ,必须 积极 宣传 信息 安全 事件 管 
理 的 作用 ,以 作为 总 体 信 息 安全 意识 和 培训 计划 的 一 部 分 。 安 全 意识 计划 及 相关 材料 应 该 
对 所 有 人 员 可 用 ,包括 新 员工 ,以 及 相关 第 三 方 用 户 和 合同 商 。 应 为 运行 支持 组 和 ISIRT 
成 员 ,以 及 如 果 必 要 的 话 ,包括 信息 安全 人 员 和 特定 的 行政 管理 人 员 制 定 一 项 特定 的 培训 计 
划 。 应 该 指出 的 是 ,根据 信息 安全 事件 类 型 .频率 及 其 与 事件 管理 方案 交互 的 重要 程度 的 不 
同 ,直接 参与 事件 管理 的 各 组 成 员 需 要 不 同 级 别 的 培训 。 

安全 意识 简报 应 该 包括 下 列 内 容 : 信息 安全 事件 管理 方案 的 基本 工作 机 制 , 包 括 它 的 
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范围 以 及 安全 事态 和 事件 管理 “工作 流程 >; 如 何 报告 信息 安全 事态 和 事件 ; 如 果 相关 的 
话 , 有 关 来 源 保密 的 防护 措施 ; 方案 服务 级 别 协议 ; 结果 的 通知 一 一 建议 在 什么 情况 下 采 
用 哪些 来 源 ; 不 泄露 协议 规定 的 任何 约束 ; 信息 安全 事件 管理 组 织 的 授权 及 报告 流程 ; 由 
谁 以 及 如 何 接受 信息 安全 事件 管理 方案 的 报告 。 

在 有 些 情况 下 ,将 有 关 信 息 安全 事件 管理 的 安全 意识 教育 细节 包括 在 其 他 培训 计划 之 
中 是 可 取 的 做 法 。 这 样 的 安全 意识 教育 方法 可 以 为 特定 人 群 提供 极 具 价值 的 背景 信息 ,从 
而 改进 培训 计划 的 效果 和 效率 。 

在 信息 安全 事件 管理 方案 开始 运行 之 前 ,所 有 相关 人 员 必 须 熟 悉 发 现 和 报告 信息 安全 
事态 的 规程 , 且 被 选 人 员 必 须 十 分 了 解 随后 的 过 程 。 还 应 该 有 后 续 的 安全 意识 简报 和 培训 
课程 。 培 训 应 该 得 到 运行 支持 组 和 ISIRT 成 员 、 信 息 安全 员 和 特定 的 行政 管理 员 的 具体 练 
习 和 测试 工作 的 支持 。 


5. 使 用 


1) 概述 

运行 中 的 信息 安全 事件 管理 由 “使 用 ”和 “评审 ”这 两 个 主要 阶段 组 成 ,在 这 之 后 是 “ 改 
进 " 阶 段 , 即 根据 总 结 出 来 的 经 验 教训 改善 安全 状况 。 这 些 阶 段 及 其 相关 过 程 在 前 面 有 简要 
介绍 。“ 使 用 ”阶段 是 本 章 描 述 的 内 容 , 随 后 将 分 别 描述 “评审 ”和 “改进 "阶段 。 

2) 关键 过 程 的 概述 

使 用 阶段 的 关键 过 程 有 : 

(1) 发 现 和 报告 发 生 的 信息 安全 事态 ,无 论 是 由 组 织 人 员 / 顾 客 引 起 的 还 是 自动 发 生 的 
(如 防火 墙 警报 ) 。 

(2) 收集 有 关 信 息 安 全 事态 的 信息 ,由 组 织 的 运行 支持 组 人 员 进 行 第 一 次 评估 ,确定 该 
事态 是 属于 信息 安全 事件 还 是 发 生 了 误 报 。 

(3) ISIRT 进行 第 二 次 评估 ,首先 确认 该 事态 是 否 属于 信息 安全 事件 。 如 果 的 确 如 此 ， 
则 作出 立即 响应 ,同时 启动 必要 的 法 律 取证 分 析 和 沟通 活动 。 

(4) 由 ISIRT 进行 评审 以 确定 该 信息 安全 事件 是 否 处 于 控制 下 : 如 果 处 于 控制 下 , 则 
启动 任何 所 需要 的 进一步 的 后 续 响 应 ,以 确保 所 有 相关 信息 准备 完毕 ,以 供 事件 后 评审 所 
用 ; 如 果 不 在 控制 下 , 则 采取 “危机 求助 ”活动 并 召集 相关 人 员 , 如 组 织 中 负责 业务 连续 性 的 
管理 者 和 工作 组 。 

(5) 在 整个 阶段 按 要 求 进行 上 报 ,以便 进一步 评估 和 /或 决策 。 

(6) 确保 所 有 相关 人 员 ,尤其 是 ISIRT 成 员 ,正确 记录 所 有 活动 以 备 后 面 分 析 所 用 。 

(7) 确保 对 电子 证 据 进行 收集 和 安全 保存 ,同时 确保 电子 证 据 的 安全 保存 得 到 持续 监 
视 ,以 备 法 律 起 诉 或 内 部 处 罚 所 需 。 

(8) 确保 包括 信息 安全 事件 追踪 和 事件 报告 更 新 的 变更 控制 制度 得 到 维护 ,从 而 使 得 
信息 安全 事态 /事件 数据 库 保 持 最 新 。 

所 有 收集 到 的 ,与 信息 安全 事态 或 事件 相关 的 信息 应 保存 在 由 ISIRT 管理 的 信息 安全 
事态 /事件 数据 库 中 。 每 个 过 程 所 报告 的 信息 应 按 当时 的 情况 尽 可 能 保持 完整 ,以 确保 为 评 
估 和 决策 以 及 其 他 相关 措施 提供 可 靠 基础 。 一 旦 发 现 和 报告 了 信息 安全 事态 ,那么 随后 的 
过 程 应 达到 以 下 目的 : 以 适当 的 人 员 级 别 分 配 事件 管理 活动 的 职责 ,包括 专职 安全 人 员 和 
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非 专职 安全 人 员 的 评估 、 决 策 和 行动 ; 制定 每 个 被 通知 人 员 均 需 遵守 的 正式 规程 ,包括 评估 
和 修改 报告 ,评估 损害 ,以 及 通知 相关 人 员 ; 使 用 指南 来 完整 地 将 一 个 信息 安全 事态 记 入 文 
件 , 如 果 该 事态 被 归 类 为 信息 安全 事件 , 那 随后 采取 的 行动 也 应 记 入 文件 ,并 更 新 信息 安全 
事态 /事件 数据 库 。 

3) 发 现 和 报告 

信息 安全 事态 可 以 被 由 技术 .物理 或 规程 方面 出 现 的 某 种 情况 引起 注意 的 一 人 或 多 人 
发 现 。 例 如 ,发 现 可 能 来 自 火 / 烟 探测 器 或 者 人 侵 (防盗 ) 警 报 , 并 通知 到 预先 指定 位 置 以 便 
有 人 采取 行动 。 技 术 型 的 信息 安全 事态 可 通过 自动 方式 发 现 ,如 由 审计 追踪 分 析 设 施 、 防 火 
墙 、 入 侵 检 测 系统 和 防 病毒 工具 在 预 设 参数 被 激发 的 情况 下 发 出 的 警报 。 

无 论 发 现 信 息 安全 事态 的 源头 是 什么 ,得 到 自动 方式 通知 或 直接 注意 到 某 些 异 常 的 人 
员 要 负责 启动 发 现 和 报告 过 程 。 该 人 员 可 以 是 组 织 内 任何 一 名 员工 ,无 论 是 正式 员工 还 是 
合同 工 。 该 员工 应 遵照 相关 规程 ,并 使 用 信息 安全 事件 管理 方案 规定 的 信息 安全 事态 报告 
单 在 第 一 时 间 把 信息 安全 事态 报告 给 运行 支持 组 和 管理 层 。 因 此 ,所 有 员工 要 十 分 了 解 并 
且 能 够 访问 用 于 报告 各 种 类 型 的 可 能 的 信息 安全 事态 的 指南 ,其 中 包括 信息 安全 事态 报告 
单 的 格式 以 及 每 次 事态 发 生 时 应 该 通知 的 联系 人 的 具体 信息 ,这 一 点 至 关 重 要 。 

如 何 处 理 一 个 信息 安全 事态 取决 于 该 事态 的 性 质 以 及 它 的 意义 和 影响 。 对 于 许多 人 来 
说 ,这 种 决定 超出 了 他 们 的 能 力 。 因 此 ,报告 信息 安全 事态 的 人 员 应 尽量 使 用 叙述 性 文字 和 
当时 可 用 的 其 他 信息 完成 信息 安全 事态 报告 单 ,必要 的 话 ,与 本 部 门 管理 者 取得 联系 。 报 告 单 
最 好 是 电子 格式 的 ,应 该 安全 地 发 送 给 指定 的 运行 支持 组 ,并 将 一 份 拷贝 交 给 ISIRT 管理 者 。 

应 该 强调 的 是 ,在 填写 信息 安全 事态 报告 单 的 内 容 时 , 既 要 保证 准确 性 ,也 要 保证 及 时 
性 。 为 了 提高 报告 单 内 容 的 准确 性 而 拖延 提交 报告 单 的 时 间 不 是 一 种 好 做 法 。 如 果 报 告 人 
对 报告 单 上 某 些 字 段 中 的 数据 没有 信心 ,在 提交 时 应 加 上 适当 的 标记 ,以 便 后 来 沟通 时 修 
改 。 还 应 该 认识 到 ,有 些 电子 报告 机 制 本 身 就 是 明显 的 攻击 对 象 。 

当 默 认 的 电子 报告 机 制 ( 如 电子 邮件 ) 存 在 问题 或 被 认为 存在 问题 (包括 认为 可 能 出 现 
系统 受 攻击 且 报告 单 可 以 被 未 授权 人 员 读 取 的 情况 ) 时 ,应 该 使 用 备用 的 沟通 方式 。 备 用 方 
式 可 能 包括 通过 人 、 电 话 或 文本 消息 。 当 调查 初期 就 明显 表明 ,信息 安全 事态 极 有 可 能 被 确 
定 为 信息 安全 事件 ,特别 是 重大 事件 时 ,尤其 应 该 使 用 上 述 备用 方式 。 

应 该 指出 的 是 ,尽管 在 多 数 情况 下 ,信息 安全 事态 必须 向 上 报告 以 便于 运行 支持 组 采取 
措施 ,但 偶尔 也 会 有 在 本 部 门 管理 者 协助 下 直接 在 本 地 处 理 信息 安全 事态 的 情况 。 一 个 信 
息 安全 事态 可 能 很 快 就 被 确定 为 误 报 ,或 者 被 解决 达到 满意 的 结果 。 在 这 种 情况 下 ,报告 单 
应 填写 完毕 后 报告 给 本 部 门 管理 者 以 及 运行 支持 组 和 ISIRT, 以 便 记录 归档 ,如 记 入 信息 安 
全 事态 /事件 数据 库 中 。 在 这 样 的 情况 下 ,可 以 由 报告 信息 安全 事态 结束 的 人 员 完 成 信息 安 
全 事件 报告 单 所 要 求 的 一 些 信息 ,即使 这 种 情况 属实 ,那么 信息 安全 事件 报告 单 也 应 该 填写 
完整 并 上 报 。 

4) 事态 /事件 评估 和 决策 

(1) 第 一 次 评估 和 初始 决策 。 

运行 支持 组 中 负责 接收 报告 的 人 员 应 签收 已 填写 完毕 的 信息 安全 事态 报告 单 ,将 其 输 
入 到 信息 安全 事态 /事件 数据 库 中 ,并 进行 评审 。 该 人 员 应 该 从 报告 信息 安全 事态 的 人 处 得 
到 详细 说 明 ,并 从 该 报告 人 或 其 他 地 方 进一步 收集 可 用 的 任何 必要 和 已 知 信息 。 随 后 ,运行 
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支持 组 的 该 人 员 应 该 进行 评估 ,以 确定 这 个 信息 安全 事态 是 属于 信息 安全 事件 还 是 仅 为 一 
次 误 报 。 如 果 确 定 该 信息 安全 事态 属于 误 报 , 应 将 信息 安全 事态 报告 单 填写 完毕 并 发 送 给 
ISIRT , 供 添 加 信息 安全 事态 /事件 数据 库 和 评审 所 用 ,同时 将 拷贝 发 送 给 事态 报告 人 及 其 
部 门 管理 者 。 

这 一 阶段 收集 到 的 信息 和 其 他 证 据 可 能 会 在 将 来 用 于 内 部 处 罚 或 司法 起 诉 过 程 。 承 担 
信息 收集 和 评估 任务 的 人 员 应 接受 证 据 收集 和 保存 方面 的 专门 培训 。 

除了 记录 行动 的 日 期 和 时 间 外 ,全 面 记 录 下 列 内 容 也 是 必要 的 : 看 见 了 什么 .做 了 什么 
以 及 为 什么 要 这 么 做 ; “证 据 ? 所 处 的 位 置 ; 如 何 将 证 据 归档 ; 如 何 进行 证 据 验 证 ; 证 据 材 
料 的 存储 /安全 保管 以 及 随后 对 其 进行 访问 的 细节 。 

如 果 确 定 信息 安全 事态 很 可 能 是 一 个 信息 安全 事件 ,而 且 运行 支持 组 成 员 具 有 适当 资 
质 , 则 可 以 进行 进一步 评估 。 这 可 能 引发 必要 的 补救 措施 ,例如 确定 应 该 增加 哪些 应 急 防护 
措施 并 指定 适当 人 员 执行 。 显 然 , 当 一 个 信息 安全 事态 被 确定 为 重大 信息 安全 事件 时 ,应 该 
直接 通知 ISIRT 管理 者 。 显 而 易 见 ,如 果 出 现 * 危 机 ?情况 ,应 该 及 时 宣布 ,例如 通知 业务 连 
续 性 管理 者 可 能 需要 启动 业务 连续 性 计划 ,同时 还 应 通知 ISIRT 管理 者 和 高 级 管理 层 。 但 
最 可 能 的 情况 是 ,必须 将 信息 安全 事件 直接 指派 给 ISIRT 进行 进一步 评估 和 采取 措施 。 

无 论 决定 下 一 步 要 采取 什么 行动 ,运行 支持 组 成 员 都 应 尽 可 能 地 将 信息 安全 事件 报告 
单 填写 完整 。 

信息 安全 事件 报告 单 应 使 用 叙 述 性 文字 ,应 尽 可 能 确认 和 描述 以 下 内 容 : 该 信息 安全 
事件 属于 什么 情况 ; 事件 是 被 如 何 引 起 的 ,什么 情况 或 由 谁 引起 ; 事件 带 来 的 危害 或 可 能 
带 来 的 危害 ; 事件 对 组 织 业务 造成 的 影响 或 潜在 影响 ; 确定 该 信息 安全 事件 是 否 属于 重大 
事件 ; 到 目前 为 止 是 如 何 处 理 的 。 

应 从 以 下 几 个 方面 考虑 信息 安全 事件 对 组 织 业 务 的 潜在 或 实际 负面 影响 时 : 未 授权 沁 
露 信息 ; 未 授权 修改 信息 ; 抵赖 信息 ; 信息 和 /或 服务 不 可 用 ; 信息 和 /或 服务 遭受 破坏 。 

首先 要 考虑 哪些 后 果 与 之 相关 ,例如 对 业务 运行 造成 的 财务 损失 /破坏 ; 商业 和 经 济 利 
益 ; 个 人 信息 ; 法 律 法 规 义 务 ; 管理 和 业务 运行 ; 声誉 损失 。 

对 于 那些 被 认为 与 信息 安全 事件 相关 的 后 果 , 应 使 用 相关 分 类 指南 确定 潜在 或 实际 影 
响 , 并 输入 到 信息 安全 事件 报告 单 中 。 该 指南 给 出 组 织 划分 自身 信息 安全 事件 后 果 等 级 的 
要 点 示例 。 该 后 果 等 级 可 作为 组 织 实 施 GB 20986 一 2007《 信 息 安 全 技术 信息 安全 事件 分 类 
分 级 指南 ) 的 参考 依据 ,有 助 于 确定 信息 安全 事件 分 级 中 “系统 损失 ”这 参考 要 素 的 级 别 , 结 
合 “ 信 息 系统 的 重要 程度 ”和 “社会 影响 ”, 可 明确 信息 安全 事件 的 级 别 大 小 。 

如 果 信 息 安 全 事件 已 被 解决 ,报告 中 应 该 详细 记录 已 经 采取 的 防护 措施 和 从 事件 中 总 
结 出 的 经 验 教 训 。 一 旦 报告 单 填写 完毕 后 ,应 将 其 送 达 ISIRT 作为 信息 安全 事态 /事件 数 
据 库 和 评审 的 输入 。 如 果 调 查 时 间 可 能 超过 一 周 ,应 产生 一 份 中 间 报 告 。 

应 该 强调 的 是 ,根据 信息 安全 事件 管理 方案 文件 提供 的 指南 ,负责 评论 信息 安全 事件 的 
运行 支持 组 人 员 应 了 解 : 何 时 必须 将 问题 上 报 以 及 应 该 向 谁 报告 ; 运行 支持 组 进行 的 所 有 
活动 应 遵循 正式 成 文 的 变更 控制 规程 。 

当 默认 的 电子 报告 机 制 (如 电子 邮件 ) 存 在 问题 或 被 认为 存在 问题 时 ,应 该 使 用 备用 方 
式 向 ISIR 管理 者 报告 。 备 用 方式 可 能 包括 通过 人 ,电话 或 文本 消息 传递 。 当 信息 安全 事件 
属于 重大 事件 时 ,尤其 应 该 使 用 这 种 备用 方式 。 


(2) 第 二 次 评估 和 事件 确认 。 

进行 第 二 次 评估 以 及 对 是 否 将 信息 安全 事态 归 类 为 信息 安全 事件 的 决定 进行 确认 是 
ISIRT 的 职责 。ISIRT 接收 报告 的 人 员 应 该 : 签收 由 运行 支持 组 尽 可 能 填写 完成 的 信息 安 
全 事态 报告 单 ; 将 报告 单 输入 信息 安全 事态 /事件 数据 库 ; 向 运行 支持 组 寻求 任何 必要 的 
湾 清 说 明 ; 评审 报告 单 内 容 ; 从 运行 支持 组 .信息 安全 事态 报告 单 填写 人 或 其 他 地 方 进 一 
步 收集 可 能 用 的 任何 必要 和 已 知 信息 。 

如 果 信 息 安 全 事件 的 真实 性 或 报告 信息 的 完整 性 仍然 存在 某 种 程度 不 确定 ,ISIRT 成 
员 应 该 进行 一 次 评估 ,以 确定 该 信息 安全 事件 属实 还 是 仅 为 一 次 误 报 。 如 果 信 息 安 全 事件 
被 确定 为 误 报 ,应 完成 填写 信息 安全 事态 报告 ,将 其 添加 到 信息 安全 事态 /事件 数据 库 中 并 
送 达 ISIRT 管理 者 。 同 时 还 应 将 报告 的 拷贝 送 达 和 运行 支持 组 .事态 报告 人 及 其 部 门 管 
理 者 。 

如 果 信 息 安 全 事件 被 确定 是 真实 的 ,ISIRT 成 员 应 进行 进一步 的 评估 ,以 尽快 确认 : 该 
信息 安全 事件 是 什么 样 的 情形 ,是 如 何 被 引起 的 ,由 什么 或 由 谁 引起 , 带 来 或 可 能 带 来 什么 
危害 ,对 组 织 业 务 造成 的 影响 或 潜在 影响 ,是 否 属于 重大 事件 ; 对 任何 信息 系统 、 服 务 和 /或 
网 络 进行 的 故意 的 、 人 为 的 技术 攻击 ,例如 系统 、 服 务 和 /或 网 络 被 渗透 的 程度 ,以 及 攻击 者 
的 控制 程度 ; 攻击 者 访问 ,可 能 复制 , 算 改 或 毁坏 了 哪些 数据 ; 攻击 者 复制 、 算 改 或 毁坏 了 
哪些 软件 ; 对 任何 信息 系统 、 服 务 和 /或 网 络 的 硬件 和 /或 物理 位 置 进行 的 故意 的 、 人 为 的 物 
理 攻 击 , 例 如 物理 损害 造成 了 什么 直接 和 间接 影响 ; 并 非 直接 由 人 为 活动 引起 的 信息 安全 
事件 ,其 直接 和 间接 影响 ; 到 目前 为 止 信息 安全 事件 是 如 何 被 处 理 的 。 

应 从 以 下 方面 评审 信息 安全 事件 对 组 织 业务 的 潜在 或 实际 负面 影响 : 未 授权 泄露 信 
息 ; 未 授权 修改 信息 ; 抵赖 信息 ; 信息 和 /或 服务 不 可 用 ; 信息 和 /或 服务 遭受 破坏 ; 必要 时 
确认 哪些 后 果 与 之 相关 ,如 以 下 示例 类 别 : 对 业务 运行 造成 的 财务 损失 /破坏 ; 商业 和 经 济 
利益 ; 个 人 信息 ; 法 律 法 规 义 务 ; 管理 和 业务 运行 ; 声誉 损失 。 

对 于 那些 被 认为 与 信息 安全 事件 相关 的 后 果 , 应 使 用 相关 类 别 的 指南 确定 潜在 或 实际 
影响 ,并 输入 到 信息 安全 事件 报告 单 中 。 在 附录 B 中 给 出 了 要 点 指南 ,该 指南 给 出 组 织 划 
分 自身 信息 安全 事件 后 果 等 级 的 要 点 示例 。 该 后 果 等 级 可 作为 组 织 实 施 GB 20986 一 2007 
《信息 安全 技术 信息 安全 事件 分 类 分 级 指南 ) 的 参考 依据 ,有 助 于 确定 信息 安全 事件 分 级 中 
“系统 损失 ”这 一 参考 要 素 的 级 别 , 结 合 “信息 系统 的 重要 程度 "和 “社会 影响 ”, 可 明确 信息 安 
全 事件 的 级 别 大 小 。 

5) 响应 

(1) 立即 响应 。 

Q@ 概述 。 

在 多 数 情况 下 ,ISIRT 成 员 的 下 一 步 工作 是 确定 立即 响应 措施 ,以 处 理 信 息 安 全 事件 、 
在 信息 安全 事件 单 上 记录 细节 并 输入 信息 安全 事态 /事件 数据 库 , 以 及 向 相关 人 员 或 工作 组 
通报 必要 的 措施 。 这 可 能 导致 采取 应 急 防护 措施 (例如 在 得 到 相关 IT 和 /或 业务 管理 者 同 
意 后 切断 /关闭 受 影响 的 信息 系统 .服务 和 /或 网 络 ) 和 /或 增加 已 被 确定 的 永久 防护 措施 并 
将 行动 通报 相关 人 员 或 工作 组 。 如 果 尚 不 能 这 么 做 , 则 应 根据 组 织 预先 确定 的 信息 安全 事 
件 严 重 性 衡量 尺度 确定 信息 安全 事件 的 严重 程度 ,如 果 事 件 足 够 严重 ,应 直接 上 报 组 织 相关 
高 级 管理 人 员 。 例 如 ,如 果 事 件 明显 是 一 种 “危机 ”情况 ,应 通知 业务 连续 性 管理 者 以 备 可 能 
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启动 业务 连续 性 计划 ,同时 还 要 通知 ISIRT 管理 者 和 高 级 管理 层 。 

@ 措施 示例 。 

这 是 一 个 在 信息 系统 .服务 和 /或 网 络 遭 到 故意 攻击 的 情况 下 ,采取 相关 的 立即 响应 措 
施 的 例子 。 如 果 攻 击 者 不 知道 自己 已 处 于 监视 之 下 ,可 保留 与 互联 网 或 其 他 网 络 的 连接 ,以 
允许 业务 关键 应 用 程序 正常 运转 , 尽 可 能 多 地 收集 有 关 攻 击 者 的 信息 。 

但 是 在 执行 这 一 决策 时 ,必须 考虑 以 下 因素 : 攻击 者 可 能 会 意识 到 自己 受到 监视 ,很 可 
能 采取 行动 进一步 毁坏 受 影响 信息 系统 .服务 和 /或 网 络 以 及 相关 数据 ; 攻击 者 可 能 会 破坏 
对 于 追踪 他 /她 本 人 有 用 的 信息 。 

一 旦 作出 中 断 /关闭 受 攻击 的 信息 系统 、 服 务 和 /或 网 络 的 决定 ,其 迅速 和 可 靠 的 执行 必 
须 在 技术 上 可 行 。 但 同时 应 实施 适当 的 鉴别 手段 ,以 使 未 授权 人 员 无 法 进行 这 种 活动 。 

需要 进一步 考虑 的 是 如 何 预防 事件 重演 ,这 通常 是 行动 的 重 中 之 重 。 不 难得 出 结论 , 攻 
击 者 暴露 了 应 该 矫正 的 弱点 ,仅仅 追踪 攻击 者 是 不 够 的 。 特 别 是 当 攻击 者 是 非 恶 意 的 且 造 
成 的 危害 小 乃至 没有 危害 时 ,这 一 点 容易 被 忽视 。 

对 于 由 非 蓄意 攻击 导致 的 信息 安全 事件 ,应 该 确定 其 来 源 。 在 采取 防护 措施 的 同时 ,可 
能 有 必要 关闭 信息 系统 、 服 务 和 /或 网 络 , 或 者 隔离 相关 部 分 并 将 其 关闭 。 如 果 所 发 现 的 弱 
点 对 于 信息 系统 、 服 务 和 /或 网 络 设计 来 说 是 根本 性 的 ,或 者 说 是 一 个 关键 弱点 ,处理 起 来 可 
能 需要 更 长 时 间 。 

另 一 个 响应 措施 可 能 是 启用 监视 技术 。 这 样 的 行动 应 该 依照 正式 成 文 的 信息 安全 事件 
管理 方案 规定 的 规程 进行 。 

ISIRT 成 员 应 对 照 备份 记录 来 检查 因 信 息 安 全 事件 而 出 现 旋 误 的 信息 , 搞 清 是 否 存 在 
自 改 、 删 除 或 插入 等 情况 。 检 查 日 志 的 完整 性 是 必要 的 ,因为 故意 行为 的 攻击 者 很 可 能 为 了 
掩盖 自己 的 行踪 而 修改 这 些 日 志 。 

@ 事件 信息 更 新 。 

无 论 确定 下 一 步 采取 什么 行动 ,ISIRT 成 员 都 应 尽 最 大 能 力 更 新 信息 安全 事件 报告 ， 
将 其 添加 到 信息 安全 事态 /事件 数据 库 ,同时 按 需 要 通知 ISIRT 管理 者 和 其 他 必要 人 员 。 
更 新 可 能 包括 有 关 以 下 内 容 的 更 多 信息 : 信息 安全 事件 是 什么 样 的 情形 ; 是 如 何 被 引起 
的 一 一 由 什么 或 由 谁 引 起 : 带 来 或 可 能 带 来 什么 危害 ; 对 组 织 业 务 造成 的 影响 或 潜在 影 
响 ; 是 否 属于 重大 事件 ; 到 目前 为 止 它 是 如 何 被 处 理 的 。 

如 果 信 息 安 全 事件 已 被 解决 ,报告 应 包含 已 经 采取 的 防护 措施 的 详细 情况 和 其 他 任何 
经 验 教 训 (例如 用 来 预防 相同 或 类 似 事件 再 次 发 生 的 进一步 防护 措施 ) 。 被 更 新 的 报告 应 该 
添加 到 信息 安全 事态 /事件 数据 库 中 ,并 通报 ISIRT 管理 者 和 其 他 必要 人 员 。 

应 该 强调 的 是 ,ISIRT 负责 妥善 保管 与 信息 安全 事件 相关 的 所 有 信息 ,以 备 鉴别 分 析 和 
可 能 在 法 庭 上 作证 据 之 用 。 例 如 一 个 针对 IT 的 信息 安全 事件 ,在 最 初 发 现 事件 后 ,应 该 在 
受 影 响 的 IT 系统 、 服 务 和 /或 网 络 关 闭 之 前 收集 所 有 只 会 短暂 存在 的 数据 ,为 完整 的 法 律 
取证 调查 做 好 准备 。 需 要 收集 的 信息 包括 内 存 、 缓 冲 区 和 注册 表 的 内 容 以 及 任何 过 程 运行 
的 细节 ; 根据 信息 安全 事件 的 性 质 ,对 受 影响 的 系统 、 服 务 和 /或 网 络 进 行 一 次 完整 复制 ,或 
对 日 志和 重要 文件 进行 一 次 低层 备份 ,以 备 法 律 取 证 之 用 ; 对 相 邻 系统 、 服 务 和 网 络 的 日 志 
(例如 包括 路 由 器 和 防火 墙 的 日 志 ) 进 行 收集 和 评审 ; 将 所 有 收集 到 的 信息 安全 地 保存 在 只 
读 介质 上 ; 进行 法 律 取证 复制 时 应 有 两 人 以 上 在 场 ,以 表明 和 保证 所 有 工作 都 是 遵照 相关 
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法 律 法 规 执行 的 ; 用 来 进行 法 律 取证 复制 的 工具 和 命令 的 规范 和 说 明 书 均 应 登记 归档 ,并 
与 原始 介质 一 起 保存 。 

在 这 一 阶段 如 果 可 能 的 话 ,ISIRT 成 员 还 要 负责 将 受 影响 设施 恢复 到 不 易 遭 受 相 同 攻 
击破 坏 的 安全 运行 状态 。 

@ 进一步 的 活动 。 

如 果 ISIRT 成 员 确 定 的 确 发 生 了 信息 安全 事件 ,还 应 采取 如 下 其 他 重要 措施 ,如 开始 
法 律 取证 分 析 ; 向 负责 对 内 对 外 沟通 的 人 员 通 报 情 况 , 同 时 建议 应 该 以 什么 形式 向 哪些 人 
员 报 告 什么 内 容 。 一 旦 尽力 完成 信息 安全 事件 报告 后 ,应 将 其 输入 信息 安全 事态 /事件 数据 
库 并 送 达 ISIRT 管理 者 。 如 果 组 织 内 的 调查 工作 超出 了 预定 时 间 , 应 产生 一 份 中 间 报 告 。 

基于 信息 安全 事件 管理 方案 文件 提供 的 指南 ,负责 评估 信息 安全 事件 的 ISIRT 人 员 应 
该 了 解 : 何 时 必须 将 问题 上 报 以 及 应 该 向 谁 报告 ; ISIRT 进行 的 所 有 活动 均 应 遵循 正式 成 
文 的 变更 控制 规程 。 

当 常 规 通 信 设 施 存 在 问题 或 者 被 认为 存在 问题 ,而 且 得 出 信息 安全 事件 属于 严重 事件 
的 结论 ; 确定 出 现 了 “危机 ”情况 时 ,应 在 第 一 时 间 将 信息 安全 事件 通过 人 、 电 话 或 文本 方式 
报告 给 相关 人 员 。 

ISIRT 管理 者 在 同 组 织 的 信息 安全 负责 人 及 相关 董事 会 成 员 / 高 级 管理 人 员 保 持 联 络 
的 同时 ,被 认为 有 必要 同 所 有 相关 方 也 应 保持 联络 。 

为 了 确保 这 样 的 联络 快速 有 效 , 有 必要 事先 建立 一 条 不 完全 依赖 于 受信 息 安 全 事件 影 
响 的 系统 .服务 和 /或 网 络 的 安全 通信 渠道 ,包括 指定 联系 人 不 在 时 的 备用 人 选 或 代表 。 

(2) 事件 是 否 处 于 控制 下 。 

在 ISIRT 成 员 作出 立即 响应 ,并 进行 了 法 律 取证 分 析 和 通报 相关 人 员 后 ,必须 迅速 得 
出 信息 安全 事件 是 否 处 于 控制 之 下 的 结论 。 如 果 需 要 ,ISIRT 成 员 可 以 就 这 一 问题 征求 同 
事 、ISTRT 管理 者 和 /或 其 他 人 员 或 工作 组 的 意见 。 如 果 确 定 信息 安全 事件 处 于 控制 之 下 ， 
ISIRT 成 员 应 启动 需要 的 后 续 响 应 ,并 进行 法 律 取证 分 析 和 向 相关 人 员 通 报 情况 。 直 至 结 
束 信息 安全 事件 的 处 理工 作 ,使 受 影响 的 信息 系统 恢复 正常 运行 。 如 果 确 定 信息 安全 事件 
不 在 控制 之 下 ,ISIRT 成 员 应 启动 危机 求助 行动 ”。 

(3) 后 续 响 应 。 

在 确定 信息 安全 事件 处 于 控制 之 下 ,不 必 采 取 ”* 危 机 求助 ”行动 之 后 ,ISIRT 成 员 应 确定 
是 否 需 要 对 信息 安全 事件 作出 进一步 响应 以 及 作出 什么 样 的 响应 。 其 中 可 能 包括 将 受 影响 
的 信息 系统 、 服 务 和 /或 网 络 恢 复 到 正常 运行 。 然 后 ,该 人 员 应 该 将 有 关 响 应 细节 记录 到 信 
息 安全 事件 报告 单 和 信息 安全 事态 /事件 数据 库 中 ,并 通知 负责 采取 相关 行动 的 人 员 。 一旦 
这 些 行动 成 功 完成 后 ,应 该 将 结果 细节 记录 到 信息 安全 事件 报告 单 和 信息 安全 事态 /事件 数 
据 库 中 ,然后 结束 信息 安全 事件 处 理工 作 ,并 通知 相关 人 员 。 

有 些 响应 旨 在 预防 同样 或 类 似 信息 安全 事件 再 次 发 生 。 例 如 ,如 果 确 定 信息 安全 事件 
的 原因 是 IT 硬件 或 软件 故障 ,而 且 没有 补丁 可 用 ,应 该 立即 联系 供应 商 。 如 果 信息 安全 事 
件 涉及 一 个 已 知 的 IT 脆弱 性 , 则 应 装载 相关 的 信息 安全 升级 包 。 任何 被 信息 安全 事件 凸 
显 出 来 的 IT 配置 问题 均 应 得 到 妥善 处 理 。 降 低 相同 或 类 似 IT 信息 安全 事件 再 次 发 生 可 
能 性 的 其 他 措施 还 包括 变更 系统 口令 和 关闭 不 用 的 服务 。 

响应 行动 的 另 一 个 方面 涉及 IT 系统 .服务 和 /或 网 络 的 监控 。 在 对 信息 安全 事件 进行 
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评估 之 后 ,应 在 适当 的 地 方 增加 监视 防护 措施 ,以 帮助 发 现 具有 信息 安全 事件 症状 的 异常 和 
可 疑 事态 。 这 样 的 监视 还 可 以 更 深刻 地 揭露 信息 安全 事件 ,同时 确定 还 有 哪些 其 他 IT 系 
统 受 到 危及 。 

启动 相关 业务 连续 性 计划 中 特定 的 响应 可 能 很 必要 。 这 一 点 既 适 用 于 IT 信息 安全 事 
件 , 同 时 也 适用 于 非 IT 的 信息 安全 事件 。 这 样 的 响应 应 涉及 业务 的 所 有 方面 ,不 仅 包 括 那 
些 与 IT 直接 相关 的 方面 ,同时 还 应 包括 关键 业务 功能 的 维护 和 以 后 的 恢复 ,其 中 包括 语音 
通信 、 人 员 级 别 和 物理 设施 。 

响应 行动 的 最 后 一 个 方面 是 恢复 受 影响 系统 、 服 务 和 /或 网 络 。 针 对 已 知 脆弱 性 的 补丁 
或 禁用 易 遭 破坏 的 要 素 ,可 将 受 影响 的 系统 .服务 和 /或 网 络 恢复 到 安全 运行 状态 。 如 果 因 
为 信息 安全 事件 破坏 了 日 志 而 无 法 全 面 了 解 信息 安全 事件 的 影响 程度 ,可 能 要 考虑 对 整个 
系统 .服务 和 /或 网 络 进行 重建 。 这 种 情况 下 ,启动 相关 的 业务 连续 性 计划 十 分 必要 。 

如 果 信 息 安全 事件 是 非 IT 相关 的 ,例如 由 火灾 、 洪 水 或 爆炸 引起 ,就 应 该 依照 正式 成 
文 的 相关 业务 连续 性 计划 开展 恢复 工作 。 

(4)“ 危 机 求助 "行动 。 

ISIRT 确定 一 个 信息 安全 事件 是 否 处 于 控制 下 时 ,很 可 能 会 得 出 事件 不 在 控制 之 下 , 必 
须 按 预先 制定 计划 采取 ”* 危 机 求助 ”行动 的 结论 。 

有 关 如 何 处 理 可 能 会 在 一 定 程度 上 破坏 信息 系统 可 用 性 /完整 性 的 各 类 信息 安全 事件 
的 最 佳 选择 ,应 该 在 组 织 的 业务 连续 性 战略 中 进行 标识 。 这 些 选 择 应 该 与 组 织 的 业务 优先 
顺序 和 相关 恢复 时 间 表 直 接 相关 ,从 而 也 与 IT 系统 ,语音 通信 、 人 员 和 食 宿 供应 的 最 长 可 
承受 中 断 时 间 直 接 关 联 。 业 务 连续 性 战略 应 该 明确 标明 所 要 求 的 : 预防 ,恢复 和 业务 连续 
性 支持 措施 ; 管理 业务 连续 性 规划 的 组 织 结构 和 职责 ; 业务 连续 性 计划 的 体系 结构 和 
概述 。 

业务 连续 性 计划 以 及 支持 启动 计划 的 现行 防护 措施 ,一 旦 经 检验 合格 并 得 到 批准 后 , 便 
可 构成 开展 “危机 求助 ”行动 的 基础 。 

其 他 可 能 类 型 的 “危机 求助 ”行动 包括 (但 不 限于 ) 启 用 : 灭火 设施 和 撤离 规程 ; 防洪 设 
施 和 撤离 规程 ; 爆炸 “处 理 ” 及 相关 撤离 规程 ; 专家 级 信息 系统 欺诈 调查 程序 ; 专家 级 技术 
攻击 调查 程序 。 

(5) 法 律 取 证 分 析 。 

当前 面 的 评估 确定 需要 收集 证 据 时 ,在 发 生 重大 信息 安全 事件 的 背景 下 ,ISIRT 应 进行 
法 律 取证 分 析 。 这 项 工作 涉及 按照 正式 文件 规定 的 程序 ,利用 基于 IT 的 调查 技术 和 工具 
对 指定 的 信息 安全 事件 进行 信息 安全 事件 管理 过 程 中 迄今 为 止 更 周密 的 分 析 研 究 。 它 应 该 
以 结构 化 的 方式 进行 ,应 该 确定 哪些 内 容 可 以 用 作证 据 , 进 而 确定 哪些 证 据 可 以 用 于 内 部 处 
罚 ,哪些 证 据 可 以 用 于 法 律 诉讼 。 

法 律 取证 分 析 所 需 设备 可 分 为 技术 (如 审计 工具 、 证 据 恢复 设备 ) ,规程 人 员 和 安全 办 
公 场 所 4 类。 

每 项 法 律 取 证 分 析 行 动 都 应 完全 登记 备案 ,其 中 包括 相关 照片 .审计 踪迹 分 析 报 告 、 
据 恢复 日 志 。 进 行 法 律 取证 分 析 人 员 的 熟练 程度 连同 熟练 程度 测试 记录 应 一 起 登记 备案 。 
能 够 表明 分 析 的 客观 性 和 逻辑 性 的 任何 其 他 信息 也 都 应 记录 在 案 。 有 关 信 息 安 全 事件 本 
身 ,法律 取证 分 析 行 动 等 的 所 有 记录 以 及 相关 的 存储 介质 都 应 保存 在 一 个 安全 的 物理 环境 
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中 ,并 遵照 相关 规程 严 加 控制 ,以 使 其 不 致 被 未 授权 人 员 接 触 ,也 不 会 被 自 改 或 变 得 不 可 用 。 
基于 IT 的 法 律 取 证 分 析 工 具 应 该 符合 标准 ,其 准确 性 应 能 经 得 起 司法 推 若 , 而 且 要 随 着 技 
术 的 发 展 升级 到 最 新 版 本 。ISIRT 工作 的 物理 环境 应 提供 可 做 验证 的 条 件 , 以 确保 证 据 的 
处 理 过 程 不 会 受 人 质疑 。 显然 ,ISIRT 要 有 充足 的 人 员 配 备 才 能 做 到 在 任何 时 候 都 能 对 信 
息 安全 事件 作出 响应 ,而 且 在 需要 时 “ 随 叫 随 到 ”。 

随 着 时 间 的 推移 ,难免 会 有 人 要 求 对 信息 安全 事件 (包括 欺诈 .盗窃 和 蓄意 破坏 ) 的 证 据 
重新 审理 。 因 此 ,要 对 ISIRT 有 所 帮助 ,就 必须 有 大 量 基 于 IT 的 手段 和 支持 性 规程 供 
ISIRT 在 信息 系统 、 服 务 或 网 络 中 揭 开 “ 隐 藏 "信息 。 其 中 包括 看 似 像 是 已 被 删除 ,加密 或 破 
坏 的 信息 。 这 些 手 段 应 能 应 付 已 知 类 型 信息 安全 事件 的 所 有 已 知 方面 (并 且 被 记录 在 
ISIRT 规程 中 )。 

当今 ,法 律 取证 分 析 往 往 必须 涉及 错综复杂 的 联网 环境 ,调查 工作 必 将 涵盖 整个 操作 环 
境 , 其 中 包括 各 种 服务 器 一 一 文件 .打印 通信、 电子 邮件 服务 器 等 ,以 及 远程 访问 设施 。 有 
许多 工具 可 供 使 用 ,其 中 包括 文本 搜索 工具 ,镜像 软件 和 法 律 取证 组 件 。 应 该 强调 的 是 ,法 
律 取证 分 析 规 程 的 主要 焦点 是 确保 证 据 的 完好 无 缺 和 核查 无 误 , 以 保证 其 经 得 起 法 律 的 考 
验 , 同 时 还 要 保证 法 律 取证 分 析 在 原始 数据 的 准确 拷贝 上 进行 ,以 防 分 析 工 作 损害 原始 介质 
的 完整 性 。 

法 律 取证 分 析 的 整个 过 程 应 包括 以 下 相关 活动 : 确保 目标 系统 .服务 和 /或 网 络 在 法 律 
取证 分 析 过 程 中 受到 保护 ,防止 其 变 得 不 可 用 、 被 改变 或 受 其 他 危害 ,同时 确保 对 正常 运行 
的 影响 没有 或 最 小 ; 对 “证据 ? 的 “捕获 ? 按 优先 顺序 进行 ,也 就 是 从 最 易 变化 的 证 据 开 始 到 
最 不 易 变化 的 证 据 结束 ; 识别 主体 系统 .服务 和 /或 网 络 中 的 所 有 相关 文件 ,包括 正常 文件 、 
看 似 被 删除 的 文件 .口令 或 其 他 受 保护 文件 和 加 密 文件 ; 尽 可 能 恢复 已 发 现 的 被 删除 文件 
和 其 他 数据 ; 揭示 IP 地 址 .主机 名 、 网 络 路 由 和 Web 站 点 信息 ; 提取 应 用 软件 和 操作 系统 
使 用 的 隐藏 临时 和 交换 文件 的 内 容 : 访问 受 保护 或 被 加 密 文件 的 内 容 ; 分 析 在 特别 磁盘 
存储 区 中 发 现 的 所 有 可 能 的 相关 数据 ; 分 析 文 件 访问 、 修 改 和 创建 的 时 间 ; 分 析 系 统 / 服 
务 /网 络 和 应 用 程序 日 志 ; 确定 系统 /服务 /网 络 中 用 户 和 /或 应 用 程序 的 活动 ; 分 析 电 子 邮 
件 的 来 源 信息 和 内 容 ; 进行 文件 完整 性 检查 ,检测 系统 特洛伊 木马 和 原来 系统 中 不 存在 的 
文件 ; 如 果 可 行 ,分 析 物 理 证 据 , 如 查看 指纹 .财产 损害 程度 ,监视 录像 .警报 系统 日 志 、 通 行 
卡 访问 日 志 以 及 会 见 目 击 证 人 等 ; 确保 所 提取 的 潜在 证 据 被 妥善 处 理 和 保存 ,使 之 不 会 被 
损害 或 不 可 使 用 ,并 且 敏 感 材料 不 会 被 未 授权 人 员 看 到 。 应 该 强调 的 是 ,收集 证 据 的 行为 要 
遵守 相关 法 律 的 规定 ; 总 结 信息 安全 事件 的 发 生 原因 以 及 在 怎样 的 时 间 框 架 内 采取 的 必要 
行动 ,连同 具有 相关 文件 列表 的 证 据 一 起 附 在 主 报告 中 ; 如 果 需 要 ,为 内 部 惩罚 或 法 律 诉讼 
行动 提供 专家 支持 。 所 采用 的 方法 应 该 记录 在 ISIRT 规程 中 。 

ISIRT 应 该 充分 结合 各 种 技能 来 提供 广泛 的 技术 知识 (包括 很 可 能 被 蓄意 攻击 者 使 用 
的 工具 和 技术 )、 分 析 / 调 查 经 验 (包括 如 何 保 存 有 用 的 证 据 )、 相 关 法 律 法 规 知识 以 及 事件 的 
发 展 趋势 。 

(6) 通报 。 

在 许多 情况 下 , 当 信 息 安全 事件 被 ISIRT 确定 属实 时 ,需要 同时 通知 某 些 内 部 人 员 和 
外 部 人 员 。 这 种 情况 可 能 会 发 生 在 事件 处 理 的 各 个 阶段 ,例如 , 当 信息 安全 事件 被 确认 属实 
时 , 当 事 件 被 确认 处 于 控制 之 下 时 , 当 事 件 被 指定 需要 ”危机 求助 "时 , 当 事 件 的 处 理工 作 结 
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东 时 以 及 当 事 件 评审 完成 并 得 出 结论 时 。 

为 协助 必要 时 通报 工作 的 顺利 进行 ,明智 的 做 法 是 提前 准备 一 些 材 料 , 到 时 候 根 据 特定 
信息 安全 事件 的 具体 情况 调整 材料 的 部 分 内 容 , 然 后 迅速 通报 给 新 闻 界 和 /或 其 他 媒体 。 任 
何 有 关 信 息 安 全 事件 的 消息 在 发 布 给 新 闻 界 时 , 均 应 遵照 组 织 的 信息 发 布 策 略 。 需 要 发 布 
的 消息 应 由 相关 方 审 查 ,其 中 包括 组 织 高 级 管理 层 、 公 共 关 系 协调 员 和 信息 安全 人 员 。 

(7) 上 报 。 

有 时 会 出 现 必须 将 事情 上 报 给 高 级 管理 层 、 组 织 内 其 他 部 门 或 组 织 外 人 员 / 组 织 的 情 
况 。 这 可 能 是 为 了 对 处 理 信 息 安 全 事件 的 建议 行动 作出 决定 ,也 可 能 是 为 了 对 事件 作出 进 
一 步 评估 以 确定 需要 采取 什么 行动 。 这 时 应 遵循 前 面 描述 的 评估 过 程 。 或 者 ,如 果 严 重 问 
题 早 就 凸显 出 来 ,或 许 已 经 处 于 这 些 过 程 之 中 。 在 信息 安全 事件 管理 方案 文件 中 应 有 指南 
可 供 那 些 可 能 会 在 某 一 时 刻 需要 将 问题 上 报 的 人 员 使 用 。 

(8) 活动 日 志和 变更 控制 。 

应 该 强调 的 是 ,所 有 参与 信息 安全 事件 报告 和 管理 的 人 员 应 该 完整 地 记录 所 有 的 活动 
以 供 日 后 分 析 之 用 。 这 些 内 容 应 该 包含 在 信息 安全 事件 报告 单 和 信息 安全 事态 /事件 数据 
库 中 ,而 且 要 在 从 第 一 次 报告 单 到 事件 后 评审 完成 的 整个 过 程 中 不 断 更 新 。 记 录 下 来 的 信 
息 应 该 妥善 保存 并 留 有 完整 备份 。 

此 外 ,在 追踪 信息 安全 事件 以 及 更 新 信息 安全 事件 报告 单 和 信息 安全 事态 /事件 数据 库 
的 过 程 中 所 做 的 任何 变更 , 均 应 遵照 已 得 到 正式 批准 的 变更 控制 方案 进行 。 


6. 评审 


1) 概述 

信息 安全 事件 解决 完毕 并 经 各 方 同意 结束 处 理 过 程 后 ,还 需 进一步 进行 法 律 取 证 分 析 
和 评审 ,以 确定 有 哪些 经 验 教训 需要 汲取 以 及 组 织 的 整体 安全 和 信息 安全 事件 管理 方案 有 
哪些 地 方 需要 改进 。 

2) 进一步 的 法 律 取证 分 析 

在 事件 被 解决 后 ,可 能 依然 需要 进行 法 律 取 证 分 析 以 确定 证 据 。 此 项 工作 应 由 ISIRT 
使 用 前 面 建议 的 工具 和 规程 进行 。 

3) 经 验 教 训 

一 旦 信息 安全 事件 的 处 理工 作 结束 ,应 该 迅速 从 信息 安全 事件 中 总 结 经 验 教训 并 立即 
付 诸 实施 ,这 一 点 十 分 重要 。 经 验 教训 可 能 反映 在 以 下 方面 : 

新 的 或 改变 的 信息 安全 防护 措施 需求 。 可 能 是 技术 或 非 技术 的 防护 措施 。 根 据 总 结 出 
来 的 经 验 教训 ,可 能 需要 迅速 更 新 和 发 布 安全 意识 简报 ,以 及 迅速 修订 和 发 布 安全 指南 和 / 
或 标准 ; 信息 安全 事件 管理 方案 及 其 过 程 报告 单 和 信息 安全 事态 /事件 数据 库 的 变更 。 

此 外 ,这 项 工作 应 不 仅 限于 某 一 次 信息 安全 事件 的 范畴 ,还 应 分 析 事件 的 发 展 趋势 和 发 
生 模 式 , 这 有 助 于 确定 防护 措施 或 方法 需要 有 哪些 改变 。 根 据 一 次 IT 信息 安全 事件 的 情 
况 进行 信息 安全 测试 ,尤其 是 脆弱 性 评估 ,也 是 十 分 明智 的 做 法 。 因 此 ,应 该 定期 分 析 研 究 
保存 在 信息 安全 事态 /事件 数据 库 中 的 数据 ,以 确定 事件 的 发 展 趋势 和 发 生 模式 ; 确定 需要 
关注 的 方面 ; 分 析 在 哪些 部 位 采取 预防 措施 可 以 降低 将 来 事件 发 生 的 可 能 性 。 

在 信息 安全 事件 发 生 过 程 中 所 获得 的 相关 信息 应 该 用 来 进行 事件 发 展 趋势 /发 生 模式 
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的 分 析 。 这 一 点 对 于 根据 以 往 经 验 和 文字 资料 尽早 确定 信息 安全 事件 以 及 警告 进一步 会 引 
发 哪些 信息 安全 事件 来 说 十 分 有 效 。 此 外 ,还 应 充分 利用 政府 部 门 、 商 业 CERT 和 供应 商 
提供 的 信息 安全 事件 和 相关 脆弱 性 信息 。 

发 生 信 息 安 全 事件 后 ,对 信息 系统 、 服 务 和 /或 网 络 进行 的 脆弱 性 评估 和 安全 测试 应 不 
仅 限 于 受信 息 安全 事件 影响 的 信息 系统 、 服 务 和 /或 网 络 ,应 该 把 任何 相关 的 信息 系统 、 服 务 
和 /或 网 络 全 都 包括 进来 。 应 通过 全 面 的 脆弱 性 评估 来 了 解 在 此 事件 中 所 利用 的 其 他 信息 
系统 .服务 和 /或 网 络 的 脆弱 性 ,同时 确保 没有 新 的 脆弱 性 被 引入 。 

值得 强调 的 是 ,脆弱 性 评估 应 定期 进行 ,而 且 信息 安全 事件 发 生 后 对 脆弱 性 的 再 次 评估 
应 是 这 一 持续 评估 过 程 的 一 个 组 成 部 分 。 

应 该 对 信息 安全 事件 作出 分 析 总 结 ,并 呈 递 到 组 织 管理 层 的 信息 安全 管理 协调 小 组 和 / 
或 组 织 总 体 信息 安全 策略 中 定义 的 其 他 管理 协调 小 组 的 每 次 会 议 上 。 

4) 确定 安全 改进 

在 信息 安全 事件 解决 后 的 评审 过 程 中 ,根据 需要 ,可 能 确定 新 的 或 改变 的 防护 措施 。 改 
进 建议 和 相关 防护 措施 需求 可 能 因 财务 或 运作 上 的 原因 不 能 立即 付 诸 实施 ,在 这 种 情况 下 
应 该 作为 组 织 的 长 期 目标 逐步 实行 。 例 如 , 换 用 一 种 更 安全 ,更 强 固 的 防火 墙 短期 内 可 能 在 
财务 上 行 不 通 , 但 是 必须 将 其 看 作 组 织 早晚 要 达到 的 长 期 信息 安全 目标 。 

5) 确定 方案 改进 

在 事件 解决 之 后 ,ISIRT 管理 者 或 其 代表 应 该 评审 所 发 生 的 一 切 以 进行 评估 ,从 而 * 量 
化 ?对 信息 安全 事件 整体 响应 的 效果 。 这 样 的 分 析 旨 在 确定 信息 安全 事件 管理 方案 的 哪些 
方面 成 功 地 发 挥 了 作用 ,有 哪些 方面 需要 改进 。 

响应 后 分 析 的 一 个 重要 方面 是 将 信息 和 知识 反馈 到 信息 安全 事件 管理 方案 中 。 如 果 事 
件 相 当 严 重 ,应 在 事件 解决 后 尽快 安排 所 有 相关 方 召开 会 议 。 这 样 的 会 议 应 该 考虑 以 下 
因素 : 

(1) 信息 安全 事件 管理 方案 规定 的 规程 是 否 发 挥 了 预期 作用 ? 

(2) 是 否 有 对 发 现 事件 有 帮助 的 规程 或 方法 ? 

(3) 是 否 确定 过 对 响应 过 程 有 帮助 的 规程 或 工具 ? 

(4) 是 否 有 在 确定 事件 之 后 对 恢复 信息 系统 有 帮助 的 规程 ? 

(5) 在 事件 发 现 、 报 告 和 响应 的 整个 过 程 中 向 所 有 相关 方 的 事件 通报 是 否 有 效 ? 

(6) 会 议 结果 应 记录 归档 ,各 方 一 致 同意 的 任何 行动 都 应 适当 地 遵照 行事 。 


7. 改进 


“改进 "阶段 的 工作 包括 执行 “评审 ”阶段 提出 的 建议 , 即 改进 安全 风险 分 析 和 管理 结果 、 
改善 安全 状况 和 改进 信息 安全 事件 管理 方案 。 下 面 各 条 将 逐一 阐述 这 些 主题 。 

1) 安全 风险 分 析 和 管理 改进 

根据 信息 安全 事件 的 严重 程度 和 影响 ,在 评估 信息 安全 风险 分 析 和 管理 评审 的 结果 时 ， 
必须 考虑 新 的 威胁 和 脆弱 性 。 作 为 完成 信息 安全 风险 分 析 和 管理 评审 更 新 的 后 续 工 作 , 引 
和 更 新 的 或 全 新 的 防护 措施 可 能 是 必要 的 。 

2) 改善 安全 状况 

遵照 “评审 ”阶段 提出 的 改进 建议 和 对 许多 信息 安全 事件 的 分 析 , 更 新 的 和 /或 全 新 的 防 
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护 措施 需要 启动 。 这 些 措施 可 能 是 技术 或 非 技术 (包括 物理 ) 的 防护 措施 ,并 可 能 需要 迅速 
更 新 和 发 布 安全 意识 简报 (给 用 户 和 其 他 人 员 ) ,以 及 迅速 修订 和 公布 安全 指南 和 标准 。 此 
外 ,对 组 织 的 信息 系统 、 服 务 和 网 络 应 定期 进行 脆弱 性 评估 ,以 帮助 确定 脆弱 性 和 提供 一 个 
对 系统 /服务 /网 络 持 续 加 固 的 过 程 。 另 外 ,在 一 次 事件 之 后 立即 进行 的 信息 安全 规程 和 文 
件 评审 更 有 可 能 是 以 后 会 被 要 求 的 一 种 响应 。 

在 一 次 信息 安全 事件 之 后 ,相关 的 信息 安全 策略 和 规程 应 参考 事件 管理 过 程 中 收集 的 
信息 和 识别 的 任何 问题 来 进行 更 新 。 确 保 组 织 全 体 人 员 知 悉 信息 安全 策略 和 规程 的 更 新 是 
ISIRT 以 及 组 织 信息 安全 管理 者 的 一 个 长 期 持续 目标 。 

3) 改进 方案 

对 信息 安全 事件 管理 方案 中 被 确定 需要 改进 的 地 方 , 需 要 认真 评审 和 判断 ,然后 据 此 修 
订 更 新 方案 文件 。 信 息 安全 事件 管理 过 程 、 规 程 和 报告 单 的 任何 更 改 都 应 经 过 全 面 检查 和 
测试 后 方 可 投入 使 用 。 

4) 其 他 改进 

“评审 ”阶段 可 能 还 会 确定 其 他 需要 改进 的 方面 ,如 信息 安全 策略 .标准 和 规程 的 变更 ， 
IT 硬件 和 软件 配置 的 变更 等 。 


6.2.3 信息 安全 事件 分 类 分 级 


信息 安全 事件 的 防范 和 处 置 是 国家 信息 安全 保障 体系 中 的 重要 环节 ,也 是 重要 的 工作 
内 容 。 信 息 安 全 事件 的 分 类 分 级 是 快速 有 效 处 置信 息 安 全 事件 的 基础 之 一 。 

2007 年 国家 标准 GB/Z 20986 一 2007《 信 息 安 全 技术 信息 安全 事件 分 类 分 级 指南 ) 发 布 
实施 。 以 下 是 该 标准 的 介绍 。 


1. 信息 安全 事件 分 类 


1) 考虑 要 素 与 基本 分 类 

信息 安全 事件 可 以 是 故意 、 过 失 或 非 人 为 原因 引起 的 。 本 指导 性 技术 文件 综合 考虑 信 
息 安全 事件 的 起 因 、 表 现 和 结果 等 ,对 信息 安全 事件 进行 分 类 。 信 息 安全 事件 分 为 有 害 程序 
事件 、 网 络 攻击 事件 .信息 破 坏事 件 、 信 息 内 容 安全 事件 .设备 设施 故障 .灾害 性 事件 和 其 他 
信息 安全 事件 7 个 基本 分 类 ,每 个 基本 分 类 分 别 包括 若干 个 子 类 。 

2) 事件 分 类 

(1) 有 害 程 序 事件 。 有 害 程 序 事件 是 指 蓄意 制造 、 传 播 有 害 程序 ,或 是 因 受 到 有 害 程 序 
的 影响 而 导致 的 信息 安全 事件 。 有 害 程序 是 指 插入 到 信息 系统 中 的 一 段 程序 ,有 害 程序 危 
害 系统 中 数据 、 应 用 程序 或 操作 系统 的 保密 性 、 完 整 性 或 可 用 性 ,或 影响 信息 系统 的 正常 运 
行 。 有 害 程 序 事件 包括 计算 机 病毒 事件 . 晴 虫 事件 .特洛伊 木马 事件 、 僵 尸 网 络 事件 、 混 合 攻 
击 程序 事件 、 网 页 内 内 恶 意 代码 事件 和 其 他 有 害 程序 事件 7 个 子 类 ,说明 如 下 : 

Q 计算 机 病毒 事件 是 指 蓄意 制造 传播 计算 机 病毒 ,或 是 因 受到 计算 机 病毒 影响 而 导 
致 的 信息 安全 事件 。 

@ 程序 中 插入 的 一 组 计算 机 指令 或 者 程序 代码 , 它 可 以 破坏 计算 机 功能 或 者 毁坏 数 
据 , 影 响 计 算 机 使 用 ,并 能 自我 复制 。 

@ 蠕虫 事件 是 指 蓄意 制造 、 传 播 蠕 虫 ,或 是 因 受 到 蠕虫 影响 而 导致 的 信息 安全 事件 。 
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蠕虫 是 指 除 计算 机 病毒 以 外 ,利用 信息 系统 缺陷 ,通过 网 络 自 动 复制 并 传播 的 有 害 程序 。 

@ 特洛伊 木马 事件 是 指 蓄意 制造 传播 特洛伊 木马 程序 ,或 是 因 受 到 特洛伊 木马 程序 
影响 而 导致 的 信息 安全 事件 。 特 洛 伊 木 马 程序 是 指 伪装 在 信息 系统 中 的 一 种 有 害 程序 , 具 
有 控制 该 信息 系统 或 进行 信息 窃取 等 对 该 信息 系统 有 害 的 功能 。 

@ 僵尸 网 络 事件 是 指 利用 僵尸 工具 软件 ,形成 僵尸 网 络 而 导致 的 信息 安全 事件 。 僵 己 
网 络 是 指 网 络 上 受到 黑客 集中 控制 的 一 群 计算 机 , 它 可 以 被 用 于 伺机 发 起 网 络 攻击 ,进行 信 
息 窃 取 或 传播 木马 ,蠕虫 等 其 他 有 害 程序 。 

@ 混合 攻击 程序 事件 是 指 蓄意 制造 ,传播 混合 攻击 程序 ,或 是 因 受 到 混合 攻击 程序 影 
响 而 导致 的 信息 安全 事件 。 混 合 攻击 程序 是 指 利用 多 种 方法 传播 和 感染 其 他 系统 的 有 害 程 
序 ,可 能 兼 有 计算 机 病毒 .蠕虫 .木马 或 僵尸 网 络 等 多 种 特征 。 混 合 攻击 程序 事件 也 可 以 是 
一 系列 有 害 程序 综合 作用 的 结果 ,例如 一 个 计算 机 病毒 或 蠕虫 在 侵入 系统 后 安装 木马 程序 等 。 

@ 网 页 内 嵌 恶 意 代码 事件 是 指 蓄意 制造 ,传播 网 页 内 其 恶意 代码 ,或 是 因 受 到 网 页 内 
嵌 恶 意 代 码 影响 而 导致 的 信息 安全 事件 。 网 页 内 符 恶 意 代 码 是 指 内 藤 在 网 页 中 ,未 经 允许 
由 浏览 器 执行 ,影响 信息 系统 正常 运行 的 有 害 程序 。 

@ 其 他 有 害 程序 事件 是 指 不 能 包含 在 以 上 6 个 子 类 之 中 的 有 害 程 序 事件 。 

(2) 网 络 攻击 事件 。 网 络 攻击 事件 是 指 通 过 网 络 或 其 他 技术 手段 ,利用 信息 系统 的 配 
置 缺 陷 ,协议 缺陷 ,程序 缺陷 或 使 用 暴力 攻击 对 信息 系统 实施 攻击 ,并 造成 信息 系统 异常 或 
对 信息 系统 当前 运行 造成 潜在 危害 的 信息 安全 事件 。 网 络 攻 击 事件 包括 拒绝 服务 攻击 事 
件 . 后 门 攻击 事件 、 漏 洞 攻击 事件 、 网 络 扫描 窃听 事件 .网络 钓 鱼 事件 ,干扰 事件 和 其 他 网 络 
攻击 事件 7 个子 类 ,说 明 如 下 : 

@ 拒绝 服务 攻击 事件 是 指 利用 信息 系统 缺陷 ,或 通过 暴力 攻击 的 手段 ,以 大 量 消 耗 信 
息 系 统 的 CPU、 内 存 、 磁 盘 空 间或 网 络 带 宽 等 资源 ,从 而 影响 信息 系统 正常 运行 为 目的 的 信 
息 安全 事件 。 

@ 后 门 攻击 事件 是 指 利用 软件 系统 、 硬 件 系统 设计 过 程 中 留 下 的 后 门 或 有 害 程序 所 设 
置 的 后 门 对 信息 系统 实施 的 攻击 的 信息 安全 事件 。 

@ 漏洞 攻击 事件 是 指 除 拒绝 服务 攻击 事件 和 后 门 攻击 事件 之 外 ,利用 信息 系统 配置 缺 
陷 ,协议 缺陷 ,程序 缺陷 等 漏洞 ,对 信息 系统 实施 攻击 的 信息 安全 事件 。 

@ 网 络 扫描 窃听 事件 是 指 利 用 网 络 扫描 或 窍 听 软件 ,获取 信息 系统 网 络 配置 .端口 、 服 
务 存在 的 脆弱 性 等 特征 而 导致 的 信息 安全 事件 。 

@ 网 络 钓鱼 事件 是 指 利用 欺骗 性 的 计算 机 网 络 技术 ,使 用 户 泄露 重要 信息 而 导致 的 信 
息 安全 事件 。 例 如 ,利用 欺骗 性 电子 邮件 获取 用 户 银行 账号 和 密码 等 。 

@ 干扰 事件 是 指 通 过 技术 手段 对 网 络 进行 干扰 .或 对 广播 电视 有 线 或 无 线 传输 网 络 进 
行 插播 ,对 卫星 广播 电视 信号 非法 攻击 等 导致 的 信息 安全 事件 。 

@ 其 他 网 络 攻击 事件 是 指 不 能 被 包含 在 以 上 6 个 子 类 之 中 的 网 络 攻击 事件 。 

(3) 信息 破坏 事件 。 信 息 破坏 事件 是 指 通过 网 络 或 其 他 技术 手段 造成 信息 系统 中 的 信 
息 被 算 改 .假冒 、 泄 露 .窃取 等 而 导致 的 信息 安全 事件 。 信 息 破坏 事件 包括 信息 算 改 事件 、 信 
息 假 冒 事件 、 信 息 泄 露 事 件 、 信 息 窍 取 事件 、 信 息 丢 失事 件 和 其 他 信息 破坏 事件 6 个 子 类 ,说 
明 如 下 : 

Q 信息 自 改 事件 是 指 未 经 授权 将 信息 系统 中 的 信息 更 换 为 攻击 者 所 提供 的 信息 而 导 
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致 的 信息 安全 事件 ,例如 网 页 自 改 等 导致 的 信息 安全 事件 。 

@ 信息 假冒 事件 是 指 通 过 假冒 他 人 信息 系统 收发 信息 而 导致 的 信息 安全 事件 ,例如 网 
页 假冒 等 导致 的 信息 安全 事件 。 

@ 信息 泄露 事件 是 指 因 误 操作 、 软 硬件 缺陷 或 电磁 泄漏 等 因素 导致 信息 系统 中 的 保 
密 、 敏 感 . 个 人 隐私 等 信息 暴露 于 未 经 授权 者 而 导致 的 信息 安全 事件 。 

@ 信息 窃取 事件 是 指 未 经 授权 用 户 利用 可 能 的 技术 手段 恶意 主动 获取 信息 系统 中 信 
息 而 导致 的 信息 安全 事件 。 

@@ 信息 丢失 事件 是 指 因 误 操 作 、 人 为 蓄意 或 软 硬 件 缺陷 等 因素 导致 信息 系统 中 的 信息 
丢失 而 导致 的 信息 安全 事件 。 

@ 其 他 信息 破坏 事件 是 指 不 能 被 包含 在 以 上 5 个 子 类 之 中 的 信息 破坏 事件 。 

(4) 信息 内 容 安全 事件 。 信 息 内 容 安 全 事件 是 指 利用 信息 网 络 发 布 ,传播 危害 国家 安 
全 、 社 会 稳定 和 公共 利益 的 内 容 的 安全 事件 。 信 息 内 容 安全 事件 包括 以 下 4 个 子 类 ,说 明 
如 下 : 

@ 违反 宪法 和 法 律 \ 行 政法 规 的 信息 安全 事件 。 

@ 针对 社会 事项 进行 讨论 .评论 形成 网 上 敏感 的 与 论 热点 ,出现 一 定 规模 炒作 的 信息 
安全 事件 。 

@ 组 织 串联 ,煽动 集会 游行 的 信息 安全 事件 。 

@ 其 他 信息 内 容 安全 事件 。 

(5) 设备 设施 故障 。 设 备 设 施 故 障 是 指 由 于 信息 系统 自身 故障 或 外 围 保障 设施 故障 而 
导致 的 信息 安全 事件 ,以 及 人 为 的 使 用 非 技术 手段 有 意 或 无 意 地 造成 信息 系统 破坏 而 导致 
的 信息 安全 事件 。 设 备 设施 故障 包括 软 硬 件 自身 故障 、 外 围 保障 设施 故障 、 人 为 破坏 事故 和 
其 他 设备 设施 故障 4 个 子 类 ,说明 如 下 : 

@ 软 硬 件 自身 故障 是 指 因 信息 系统 中 硬件 设备 的 自然 故障 、 软 硬件 设计 缺陷 或 者 软 硬 
件 运 行 环境 发 生变 化 等 而 导致 的 信息 安全 事件 。 

@ 外 围 保障 设施 故障 是 指 由 于 保障 信息 系统 正常 运行 所 必需 的 外 部 设施 出 现 故 障 而 
导致 的 信息 安全 事件 ,例如 电力 故障 、 外 围 网 络 故 障 等 导致 的 信息 安全 事件 。 

@ 人 为 破坏 事故 是 指 人 为 蓄意 地 对 保障 信息 系统 正常 运行 的 硬件 ,软件 等 实施 窃取 、 
破坏 造成 的 信息 安全 事件 ; 或 由 于 人 为 的 遗失 、 误 操作 以 及 其 他 无 意 行 为 造成 信息 系统 硬 
件 .软件 等 遭 到 破坏 ,影响 信息 系统 正常 运行 的 信息 安全 事件 。 

@ 其 他 设备 设施 故障 指 不 能 被 包含 在 以 上 3 个 子 类 之 中 的 设备 设施 故障 而 导致 的 信 
息 安 全 事件 。 

(6) 灾害 性 事件 。 灾 害 性 事件 是 指 由 于 不 可 抗力 对 信息 系统 造成 物理 破坏 而 导致 的 信 
息 安 全 事件 。 灾 害 性 事件 包括 水 灾 \ 人 台风、 地震. 雷击、 雪 塌 、 火 灾 、 怒 怖 袭击 和 战争 等 导致 的 
信息 安全 事件 。 

(7) 其 他 事件 。 其 他 事件 类 别 是 指 不 能 归 为 以 上 6 个 基本 分 类 的 信息 安全 事件 。 


2. 信息 安全 事件 分 级 


1) 分 级 考虑 要 素 
对 信息 安全 事件 的 分 级 主要 考虑 三 个 要 素 : 信息 系统 的 重要 程度 、 系 统 损失 和 社会 影响 。 
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(1) 信息 系统 的 重要 程度 。 信 息 系 统 的 重要 程度 主要 考虑 信息 系统 所 承载 的 业务 对 国 
家 安全 ,经济 建 设 、 社 会 生活 的 重要 性 以 及 业务 对 信息 系统 的 依赖 程度 ,划分 为 特别 重要 信 
息 系统 、 重 要 信息 系统 和 一 般 信息 系统 。 

(2) 系统 损失 。 系 统 损失 是 指 由 于 信息 安全 事件 对 信息 系统 的 软 硬 件 、 功 能 及 数据 的 
破坏 导致 系统 业务 中 断 , 从 而 给 事 发 组 织 所 造成 的 损失 ,其 大 小 主要 考虑 恢复 系统 正常 运行 
和 消除 安全 事件 负面 影响 所 需 付 出 的 代价 ,划分 为 特别 严重 的 系统 损失 、 严 重 的 系统 损失 、 
较 大 的 系统 损失 和 较 小 的 系统 损失 ,说 明 如 下 : 

特别 严重 的 系统 损失 。 造 成 系统 大 面积 瘫 次, 使 其 丧失 业务 处 理 能 力 ,或 系统 关键 
数据 的 保密 性 、 完 整 性 .可 用 性 遭 到 严重 破坏 ,恢复 系统 正常 运行 和 消除 安全 事件 负面 影响 
所 需 付出 的 代价 十 分 巨大 ,对 于 事 发 组 织 是 不 可 承受 的 。 

@ 严重 的 系统 损失 。 造 成 系统 长 时 间 中 断 或 局 部 瘫痪 ,使 其 业务 处 理 能 力 受到 极 大 影 
响 ,或 系统 关键 数据 的 保密 性 、 完 整 性 .可 用 性 遭 到 破坏 ,恢复 系统 正常 运行 和 消除 安全 事件 
负面 影响 所 需 付 出 的 代价 巨大 ,但 对 于 事 发 组 织 是 可 承受 的 。 

@ 较 大 的 系统 损失 。 造 成 系统 中 断 , 明 显影 响 系 统 效率 ,使 重要 信息 系统 或 一 般 信息 
系统 业务 处 理 能 力 受 到 影响 ,或 系统 重要 数据 的 保密 性 、 完 整 性 `. 可 用 性 遭 到 破坏 ,恢复 系统 
正常 运行 和 消除 安全 事件 负面 影响 所 需 付 出 的 代价 较 大 ,但 对 于 事 发 组 织 是 完全 可 以 承 
受 的 。 

@ 较 小 的 系统 损失 。 造 成 系统 短暂 中 断 ,影响 系 统 效率 ,使 系统 业务 处 理 能 力 受 到 影 
响 ,或 系统 重要 数据 的 保密 性 、 完 整 性 .可 用 性 受到 影响 ,恢复 系统 正常 运行 和 消除 安全 事件 
负面 影响 所 需 付 出 的 代价 较 小 。 

(3) 社会 影响 。 社 会 影响 是 指 信息 安全 事件 对 社会 所 造成 影响 的 范围 和 程度 ,其 大 小 
主要 考虑 国家 安全 、 社 会 秩序 经济 建 设 和 公众 利益 等 方面 的 影响 ,划分 为 特别 重大 的 社会 
影响 、 重 大 的 社会 影响 、 较 大 的 社会 影响 和 一 般 的 社会 影响 ,说 明 如 下 : 

@ 特别 重大 的 社会 影响 。 波 及 到 一 个 或 多 个 省 市 的 大 部 分 地 区 , 极 大 地 威胁 国家 安 
全 ,引起 社会 动荡 ,对 经 济 建设 有 极其 恶劣 的 负面 影响 ,或 者 严重 损害 公众 利益 。 

@ 重大 的 社会 影响 。 波 及 一 个 或 多 个 地 市 的 大 部 分 地 区 ,威胁 到 国家 安全 ,引起 社会 
恺 懂 , 对 经 济 建设 有 重大 的 负面 影响 ,或 者 损害 到 公众 利益 。 

@ 较 大 的 社会 影响 。 波 及 一 个 或 多 个 地 市 的 部 分 地 区 ,可 能 影响 到 国家 安全 ,扰乱 社 
会 秩序 ,对 经 济 建设 有 一 定 的 负面 影响 ,或 者 影响 到 公众 利益 。 

@ 一 般 的 社会 影响 。 波 及 一 个 地 市 的 部 分 地 区 ,对 国家 安全 \ 社 会 秩序 、 经 济 建设 和 公 
众 利益 基本 没有 影响 ,但 对 个 别 公民 、 法 人 或 其 他 组 织 的 利益 会 造成 损害 。 

2) 事件 分 级 

根据 信息 安全 事件 的 分 级 考虑 要 素 ,将 信息 安全 事件 划分 为 4 个 级 别 : 特别 重大 事件 、 
重大 事件 、 较 大 事件 和 一 般 事 件 。 

(1) 特别 重大 事件 ( 工 级 ) 。 特 别 重大 事件 是 指 能 够 导致 特别 严重 影响 或 破坏 的 信息 安 
全 事件 ,包括 以 下 情况 : 会 使 特别 重要 信息 系统 遭受 特别 严重 的 系统 损失 ; 产生 特别 重大 
的 社会 影响 。 

(2) 重大 事件 (下 级 )。 重 大 事件 是 指 能 够 导致 严重 影响 或 破坏 的 信息 安全 事件 ,包括 
以 下 情况 : 会 使 特别 重要 信息 系统 遭受 严重 的 系统 损失 ,或 使 重要 信息 系统 遭受 特别 严重 
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的 系统 损失 ; 产生 重大 的 社会 影响 。 

(3) 较 大 事件 (三 级 )。 较 大 事件 是 指 能 够 导致 较 严 重 影响 或 破坏 的 信息 安全 事件 , 包 
括 以 下 情况 : 会 使 特别 重要 信息 系统 遭受 较 大 的 系统 损失 ,或 使 重要 信息 系统 遭受 严重 的 
系统 损失 一般 信息 系统 遭受 特别 严重 的 系统 损失 ; 产生 较 大 的 社会 影响 。 

(4) 一 般 事 件 ( 人 级)。 一 般 事件 是 指 不 满足 以 上 条 件 的 信息 安全 事件 ,包括 以 下 情况 : 
会 使 特别 重要 信息 系统 遭受 较 小 的 系统 损失 ,或 使 重要 信息 系统 遭受 较 大 的 系统 损失 ,一 般 
信息 系统 遭受 严重 或 严重 以 下 级 别 的 系统 损失 ; 产生 一 般 的 社会 影响 。 


6.2.4 信息 安全 灾难 恢复 


2007 年 ,国家 标准 (信息 系统 灾难 恢复 规范 》(GB/T 20988 一 2007) 发 布 ,下 面 是 其 内 容 
介绍 。 


1. 概念 术语 


(1) 备用 站 点 。 用 于 灾难 发 生 后 接替 主 系统 进行 数据 处 理 和 支持 关键 业务 功能 运作 的 
场所 ,可 提供 灾难 备份 系统 、 备 用 的 基础 设施 和 专业 技术 支持 及 运行 维护 管理 能 力 。 此 场所 
内 或 周边 可 提供 备用 的 生活 设施 。 

(2) 灾难 备份 。 为 了 灾难 恢复 而 对 数据 .数据 处 理 系统 、 网 络 系统 .基础 设施 .专业 技术 
支持 能 力 和 运行 管理 能 力 进行 备份 的 过 程 。 

(3) 灾难 备份 系统 。 用 于 灾难 恢复 目的 ,由 数据 备份 系统 、 备 用 数据 处 理 系 统 和 备用 的 
网 络 系 统 组 成 的 信息 系统 。 

(4) 数据 备份 策略 。 为 了 达到 数据 恢复 和 重建 目标 所 确定 的 备份 步骤 和 行为 。 通 过 确 
定 备份 时 间 技术 .介质 和 场 外 存放 方式 ,以 保证 达到 恢复 时 间 目 标 和 恢复 点 目标 。 

(5) 灾难 。 由 于 人 为 或 自然 的 原因 ,造成 信息 系统 严重 故障 或 瘫痪 ,使 信息 系统 支持 的 
业务 功能 停顿 或 服务 水 平 不 可 接受 、 达 到 特定 的 时 间 的 突 发 性 事件 。 通 常 导致 信息 系统 需 
要 切换 到 灾难 备份 中 心 运行 。 

(6) 灾难 恢复 。 为 了 将 信息 系统 从 灾难 造成 的 故障 或 瘫痪 状态 恢复 到 可 正常 运行 状 
态 ,并 将 其 支持 的 业务 功能 从 灾难 造成 的 不 正常 状态 恢复 到 可 接受 状态 而 设计 的 活动 和 流程 。 

(7) 灾难 恢复 预案 。 定 义 信息 系统 灾难 恢复 过 程 中 所 需 的 任务 .行动 .数据 和 资源 的 文 
件 。 用 于 指导 相关 人 员 在 预定 的 灾难 恢复 目标 内 恢复 信息 系统 支持 的 关键 业务 功能 。 

(8) 灾难 恢复 规划 。 为 了 减少 灾难 带 来 的 损失 和 保证 信息 系统 所 支持 的 关键 业务 功能 
在 灾难 发 生 后 能 及 时 恢复 和 继续 运作 所 做 的 事前 计划 和 安排 。 

(9) 灾难 恢复 能 力 。 在 灾难 发 生 后 利用 灾难 恢复 资源 和 灾难 恢复 预案 及 时 恢复 和 继续 
运作 的 能 力 。 

(10) 演练 。 为 训练 人 员 和 提高 灾难 恢复 能 力 而 根据 灾难 恢复 预案 进行 活动 的 过 程 。 
包括 桌面 演练 .模拟 演练 .重点 演练 和 完整 演练 等 。 

(11) 区 域 性 灾难 。 造 成 所 在 地 区 或 有 紧密 联系 的 邻近 地 区 的 交通 、 通 信 、 能 源 及 其 他 
关键 基础 设施 受到 严重 破坏 ,或 大 规模 人 口 药 散 的 事件 。 

(12) 恢复 时 间 目 标 (RTO)。 灾 难 发 生 后 ,信息 系统 或 业务 功能 从 停顿 到 必须 恢复 的 时 
间 要 求 。 
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(13) 恢复 点 目标 (RPO)。 灾 难 发 生 后 ,系统 和 数据 必须 恢复 到 的 时 间 点 要 求 。 
(14) 复原 。 支 持 业 务 运作 的 信息 系统 从 灾难 备份 中 心 重 新 回 到 主 中 心 运行 的 过 程 。 


2. 灾难 恢复 概述 


1) 灾难 恢复 的 工作 范围 

信息 系统 的 灾难 恢复 工作 包括 灾难 恢复 规划 和 灾难 备份 中 心 的 日 常 运行 .关键 业务 功 
能 在 灾难 备份 中 心 的 恢复 和 重 续 运 行 ,以 及 主 系统 的 灾后 重建 和 回 退 工作 ,还 涉及 突 发 事件 
发 生 后 的 应 急 响应 。 

其 中 ,灾难 恢复 规划 是 一 个 周而复始 持续 改进 的 过 程 ,包含 以 下 几 个 阶段 : 灾难 恢复 
需求 的 确定 ; 灾难 恢复 策略 的 制定 ; 灾难 恢复 策略 的 实现 ; 灾难 恢复 预案 的 制定 、 落 实 和 
管理 。 

2) 灾难 恢复 的 组 织 机 构 

(1) 组 织 机 构 的 设立 。 信 息 系统 的 使 用 或 管理 组 织 ( 以 下 简称 "组 织 ”) 应 结合 其 日 常 组 
织 机 构建 立 灾 难 恢 复 的 组 织 机 构 ,并 明确 其 职责 。 其 中 一 些 人 可 负责 两 种 或 多 种 职责 ,一 些 
职位 可 由 多 人 担任 。 灾 难 恢复 的 组 织 机 构 由 管理 .业务 .技术 和 行政 后 勤 等 人 员 组 成 ,一 般 
可 设 为 灾难 恢复 领导 小 组 .灾难 恢复 规划 实施 组 和 灾难 恢复 日 常 运行 组 。 组 织 可 聘请 具有 
相应 资质 的 外 部 专家 协助 灾难 恢复 实施 工作 ,也 可 委托 具有 相应 资质 的 外 部 机 构 承 担 实施 
组 以 及 日 常 运行 组 的 部 分 或 全 部 工作 。 

(2) 组 织 机 构 的 职责 。 

@ 灾难 恢复 领导 小 组 。 灾 难 恢复 领导 小 组 是 信息 系统 灾难 恢复 工作 的 组 织 领导 机 构 ， 
组 长 应 由 组 织 最 高 管理 层 成 员 担任 。 领 导 小 组 的 职责 是 领导 和 决策 信息 系统 灾难 恢复 的 重 
大 事宜 ,主要 如 下 : 审核 并 批准 经 费 预算 ; 审核 并 批准 灾难 恢复 策略 ; 审核 并 批准 灾难 恢复 
预案 ; 批准 灾难 恢复 预案 的 执行 。 

@ 灾难 恢复 规划 实施 组 。 灾 难 恢复 规划 实施 组 的 主要 职责 是 负责 灾难 恢复 的 需求 分 
析 ; 提出 灾难 恢复 策略 和 等 级 ; 灾难 恢复 策略 的 实现 ; 制定 灾难 恢复 预案 ; 组 织 灾难 恢复 
预案 的 测试 和 演练 。 

@ 灾难 恢复 日 常 运行 组 。 灾 难 恢复 日 常 运行 组 的 主要 职责 是 负责 协助 灾难 恢复 系统 
实施 ; 灾难 备份 中 心 日 常 管理 ; 灾难 备份 系统 的 运行 和 维护 ; 灾难 恢复 的 专业 技术 支持 ; 
参与 和 协助 灾难 恢复 预案 的 教育 、 培 训 和 演练 ; 维护 和 管理 灾难 恢复 预案 ; 突 发 事件 发 生 
时 的 损失 控制 和 损害 评估 ; 灾难 发 生 后 信息 系统 和 业务 功能 的 恢复 ; 灾难 发 生 后 的 外 部 
协作 。 

3) 灾难 恢复 规划 的 管理 

组 织 应 评估 灾难 恢复 规划 过 程 的 风险 、 筹 备 所 需 资源 .确定 详细 任务 及 时 间 表 、 监 督 和 
管理 规划 活动 .跟踪 和 报告 任务 进展 以 及 进行 问题 管理 和 变更 管理 。 

4) 灾难 恢复 的 外 部 协作 

组 织 应 与 相关 管理 部 门 ,设备 及 服务 提供 商 \ 电 信 、 电 力 和 新 闻 媒 体 等 保持 联络 和 协作 ， 
以 确保 在 灾难 发 生 时 能 及 时 通报 准确 情况 和 获得 适当 支持 。 

5) 灾难 恢复 的 审计 和 备案 

灾难 恢复 的 等 级 评定 、 灾 难 恢复 预案 的 制定 应 按 有 关 规 定 进行 审计 和 备案 。 
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3. 灾难 恢复 需求 的 确定 


1) 风险 分 析 

标识 信息 系统 的 资产 价值 ,识别 信息 系统 面临 的 自然 的 和 人 为 的 威胁 ,识别 信息 系统 的 
脆弱 性 ,分析 各 种 威胁 发 生 的 可 能 性 并 定量 或 定性 描述 可 能 造成 的 损失 ,识别 现 有 的 风险 防 
范 和 控制 措施 。 通 过 技术 和 管理 手段 ,防范 或 控制 信息 系统 的 风险 。 依 据 防范 或 控制 风险 
的 可 行 性 和 残余 风险 的 可 接受 程度 ,确定 对 风险 的 防范 和 控制 措施 。 信 息 系统 风险 评估 方 
法 可 参考 GB/T XXX 信息 安全 风险 评估 指南 )。 

2) 业务 影响 分 析 

(1) 分 析 业 务 功能 和 相关 资源 配置 。 对 组 织 的 各 项 业务 功能 及 各 项 业务 功能 之 间 的 相 
关 性 进行 分 析 ,确定 支持 各 种 业务 功能 的 相应 信息 系统 资源 及 其 他 资源 ,明确 相关 信息 的 保 
密 性 、 完 整 性 和 可 用 性 要 求 。 

(2) 评估 中 断 影响 。 应 采用 如 下 的 定量 和 /或 定性 方法 ,对 各 种 业务 功能 的 中 断 造成 的 
影响 进行 评估 : 

@ 定量 分 析 。 以 量化 方法 评估 业务 功能 的 中 断 可 能 给 组 织带 来 的 直接 经 济 损失 和 间 
接 经 济 损失 。 

@ 定性 分 析 。 运 用 归纳 与 演绎 、 分 析 与 综合 以 及 抽象 与 概括 等 方法 ,评估 业务 功能 的 
中 断 可 能 给 组 织带 来 的 非 经 济 损失 ,包括 组 织 的 声誉 .顾客 的 忠诚 度 、 员 工 的 信心 .社会 和 政 
治 影响 等 。 

3) 确定 灾难 恢复 目标 

根据 风险 分 析 和 业务 影响 分 析 的 结果 确定 灾难 恢复 目标 ,包括 关键 业务 功能 及 恢复 的 
优先 顺序 ; 灾难 恢复 时 间 范 围 。 


4. 灾难 恢复 策略 的 制定 


1) 灾难 恢复 策略 制定 的 要 素 

(1) 灾难 恢复 资源 要 素 。 支 持 灾难 恢复 各 个 等 级 所 需 的 资源 (以 下 简称 “灾难 恢复 资 
源 ”) 可 分 为 如 下 7 个 要 素 : 

@ 数据 备份 系统 。 一 般 由 数据 备份 的 硬件 .软件 和 数据 备份 介质 (以 下 简称 “介质 ”) 组 
成 ,如 果 是 依靠 电子 传输 的 数据 备份 系统 ,还 包括 数据 备份 线路 和 相应 的 通信 设备 。 

@ 备用 数据 处 理 系 统 。 指 备用 的 计算 机 、 外 围 设备 和 软件 。 

@ 备用 网 络 系统 。 最 终 用 户 用 来 访问 备用 数据 处 理 系统 的 网 络 , 包 含 备用 网 络 通 信 设 
备 和 备用 数据 通信 线路 。 

@ 备用 基础 设施 。 灾 难 恢复 所 需 的 、 支 持 灾难 备份 系统 运行 的 建筑 ,设备 和 组 织 ,包括 
介质 的 场 外 存放 场所 、 备 用 的 机 房 及 灾难 恢复 工作 辅助 设施 ,以 及 容许 灾难 恢复 人 员 连 续 停 
留 的 生活 设施 。 

@ 专业 技术 支持 能 力 。 对 灾难 恢复 系统 的 运转 提供 支撑 和 综合 保障 的 能 力 ,以 实现 灾 
难 恢复 系统 的 预期 目标 。 包 括 硬 件 、 系 统 软件 和 应 用 软件 的 问题 分 析 和 处 理 能 力 、 网 络 系 统 
安全 运行 管理 能 力 ,沟通 协调 能 力 等 。 

@ 运行 维护 管理 能 力 。 包 括 运行 环境 管理 .系统 管理 .安全 管理 和 变更 管理 等 。 


〇 灾难 恢复 预案 。 

(2) 成 本 效益 分 析 原 则 。 根 据 灾难 恢复 目标 ,按照 灾难 恢复 资源 的 成 本 与 风险 可 能 造 
成 的 损失 之 间 取 得 平衡 的 原则 (以 下 简称 “成 本 风险 平衡 原则 ”) 确 定 每 项 关键 业务 功能 的 灾 
难 恢复 策略 ,不 同 的 业务 功能 可 采用 不 同 的 灾难 恢复 策略 。 

(3) 灾难 恢复 策略 的 组 成 。 灾 难 恢复 策略 主要 包括 灾难 恢复 资源 的 获取 方式 ; 灾难 恢 
复 能 力 等 级 ,或 灾难 恢复 资源 各 要 素 的 具体 要 求 。 

2) 灾难 恢复 资源 的 获取 方式 

(1) 数据 备份 系统 。 数 据 备份 系统 可 由 组 织 自行 建设 ,也 可 通过 租用 其 他 机 构 的 系统 
而 获取 。 

(2) 备用 数据 处 理 系统 。 可 选用 以 下 三 种 方式 之 一 来 获取 备用 数据 处 理 系统 : 事先 与 
厂商 签订 紧急 供 货 协议 ; 事先 购买 所 需 的 数据 处 理 设备 并 存放 在 灾难 备份 中 心 或 安全 的 设 
备 仓库 ; 利用 商业 化 灾难 备份 中 心 或 签 有 互惠 协议 的 机 构 已 有 的 兼容 设备 。 

(3) 备用 网 络 系统 。 备 用 网 络 通信 设备 可 通过 上 述 的 方式 获取 ; 备用 数据 通信 线路 可 
使 用 自 有 数据 通信 线路 或 租用 公用 数据 通信 线路 。 

(4) 备用 基础 设施 。 可 选用 以 下 三 种 方式 获取 备用 基础 设施 : 由 组 织 所 有 或 运行 ; 多 
方 共 建 或 通过 互惠 协议 获取 ; 租用 商业 化 灾难 备份 中 心 的 基础 设施 。 

(5) 专业 技术 支持 能 力 。 可 选用 以 下 几 种 方式 获取 专业 技术 支持 能 力 : 灾难 备份 中 心 
设置 专职 技术 支持 人 员 ; 与 厂商 签订 技术 支持 或 服务 合同 ; 由 主 中 心 技 术 支持 人 员 兼任 。 
但 对 于 RTO 较 短 的 关键 业务 功能 ,应 考虑 到 灾难 发 生 时 交通 和 通信 的 不 正常 ,造成 技术 支 
持 人 员 无 法 提供 有 效 支持 的 情况 。 

(6) 运行 维护 管理 能 力 。 可 选用 以 下 对 灾难 备份 中 心 的 运行 维护 管理 模式 : 自行 运行 
和 维护 ; 委托 其 他 机 构 运 行 和 维护 。 

(7) 灾难 恢复 预案 。 可 选用 以 下 方式 完成 灾难 恢复 预案 的 制定 、 落 实 和 管理 : 由 组 织 
独立 完成 ; 聘请 具有 相应 资质 的 外 部 专家 指导 完成 ; 委托 具有 相应 资质 的 外 部 机 构 完成 。 

3) 灾难 恢复 资源 的 要 求 

(1) 数据 备份 系统 。 组 织 应 根据 灾难 恢复 目标 ,按照 成 本 风险 平衡 原则 ,确定 数据 备份 
的 范围 ; 数据 备份 的 时 间 间 隔 ; 数据 备份 的 技术 及 介质 ; 数据 备份 线路 的 速率 及 相关 通信 
设备 的 规格 和 要 求 。 

(2) 备用 数据 处 理 系统 。 组 织 应 根据 关键 业务 功能 的 灾难 恢复 对 备用 数据 处 理 系统 的 
要 求 和 未 来 发 展 的 需要 ,按照 成 本 风险 平衡 原则 ,确定 备用 数据 处 理 系统 的 数据 处 理 能 力 ; 
与 主 系统 的 兼容 性 要 求 ; 平时 处 于 就 绪 还 是 运行 状态 。 

(3) 备用 网 络 系统 。 组 织 应 根据 关键 业务 功能 的 灾难 恢复 对 网 络 容量 及 切换 时 间 的 要 
求 和 未 来 发 展 的 需要 ,按照 成 本 风险 平衡 原则 ,选择 备用 数据 通信 的 技术 和 线路 带宽 ,确定 
网 络 通信 设备 的 功能 和 容量 ,保证 灾难 恢复 时 ,最 终 用 户 能 以 一 定 速率 连接 到 备用 数据 处 理 
系统 。 

(4) 备用 基础 设施 。 组 织 应 根据 灾难 恢复 目标 ,按照 成 本 风险 平衡 原则 ,确定 对 备用 基 
础 设施 的 要 求 , 包 括 与 主 中 心 的 距离 要 求 ; 场地 和 环境 (如 面积 温度、 湿度 防火、 电力 和 工 
作 时 间 等 ) 要 求 ; 运行 维护 和 管理 要 求 。 

(5) 专业 技术 支持 能 力 。 组 织 应 根据 灾难 恢复 目标 ,按照 成 本 风险 平衡 原则 ,确定 灾难 
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备份 中 心 在 软件 、 硬 件 和 网 络 等 方面 的 技术 支持 要 求 , 包 括 技术 支持 的 组 织 架构 .各 类 技术 
支持 人 员 的 数量 和 素质 等 要 求 。 

(6) 运行 维护 管理 能 力 。 组 织 应 根据 灾难 恢复 目标 ,按照 成 本 风险 平衡 原则 ,确定 灾难 
备份 中 心 运行 维护 管理 要 求 , 包 括 运行 维护 管理 组 织 架 构 ` 人 员 的 数量 和 素质 .运行 维护 管 
理 制 度 等 要 求 。 

(7) 灾难 恢复 预案 。 组 织 应 根据 需求 分 析 的 结果 ,按照 成 本 风险 平衡 原则 ,明确 灾难 恢 
复 预 案 的 整体 要 求 ; 制定 过 程 的 要 求 ; 教育 .培训 和 演练 要 求 ; 管理 要 求 。 


5. 灾难 恢复 策略 的 实现 


1) 灾难 备份 系统 技术 方案 的 实现 

(1) 技术 方案 的 设计 。 根 据 灾难 恢复 策略 制定 相应 的 灾难 备份 系统 技术 方案 ,包含 数 
据 备 份 系统 、 备 用 数据 处 理 系 统 和 备用 的 网 络 系统 。 技 术 方 案 中 所 设计 的 系统 应 获得 同 主 
系统 相当 的 安全 保护 ; 具有 可 扩展 性 ; 考虑 其 对 主 系 统 可 用 性 和 性 能 的 影响 。 

(2) 技术 方案 的 验证 ,确认 和 系统 开发 。 为 确保 技术 方案 满足 灾难 恢复 策略 的 要 求 ,应 
由 组 织 的 相关 部 门 对 技术 方案 进行 确认 和 验证 ,并 记录 和 保存 验证 及 确认 的 结果 。 按 照 确 
认 的 灾难 备份 系统 技术 方案 进行 开发 ,实现 所 要 求 的 数据 备份 系统 、 备 用 数据 处 理 系 统 和 备 
用 网 络 系 统 。 

(3) 系统 安装 和 测试 。 按 照 经 过 确认 的 技术 方案 ,灾难 恢复 规划 实施 组 应 制定 各 阶段 
的 系统 安装 及 测试 计划 ,以 及 支持 不 同 关键 业务 功能 的 系统 安装 及 测试 计划 ,并 组 织 最 终 用 
户 共同 进行 测试 。 确 认 以 下 各 项 功能 可 正确 实现 : 数据 备份 及 数据 恢复 功能 ; 在 限定 的 时 
间 内 ,利用 备份 数据 正确 恢复 系统 、 应 用 软件 及 各 类 数据 ,并 可 正确 恢复 各 项 关键 业务 功能 ; 
客户 端 可 与 备用 数据 处 理 系 统 通信 正常 。 

2) 灾难 备份 中 心 的 选择 和 建设 

(1) 选 址 原则 。 选 择 或 建设 灾难 备份 中 心 时 ,应 根据 风险 分 析 的 结果 ,避免 灾难 备份 中 
心 与 主 中 心 同 时 遭受 同类 风险 。 灾 难 备份 中 心包 括 同 城 和 异地 两 种 类 型 ,以 规避 不 同 影响 
范围 的 灾难 风险 。 灾 难 备份 中 心 应 具有 数据 备份 和 灾难 恢复 所 需 的 通信 、 电 力 等 资源 ,以 及 
方便 灾难 恢复 人 员 和 设备 到 达 的 交通 条 件 。 灾 难 备份 中 心 应 根据 统筹 规划 、 资 源 共 享 平 战 
结合 的 原则 ,合理 地 布局 。 

(2) 基础 设施 的 要 求 。 新 建 或 选用 灾难 备份 中 心 的 基础 设施 时 ,计算 机 机 房 应 符合 有 
关 国 家 标准 的 要 求 ; 工作 辅助 设施 和 生活 设施 应 符合 灾难 恢复 目标 的 要 求 。 

3) 专业 技术 支持 能 力 的 实现 

组 织 应 根据 灾难 恢复 策略 的 要 求 ,获取 对 灾难 备份 系统 的 专业 技术 支持 能 力 。 灾 难 备 

份 中 心 应 建立 相应 的 技术 支持 组 织 , 定 期 对 技术 支持 人 员 进 行 技能 培训 。 

4) 运行 维护 管理 能 力 的 实现 

为 了 达到 灾难 恢复 目标 ,灾难 备份 中 心 应 建立 各 种 操作 规程 和 管理 制度 ,用 以 保证 数据 
备份 的 及 时 性 和 有 效 性 ; 备用 数据 处 理 系统 和 备用 网 络 系统 处 于 正常 状态 ,并 与 主 系统 的 
参数 保持 一 致 ， 有效 的 应 急 响 应 、 处 理 能 力 。 

5) 灾难 恢复 预案 的 实现 

灾难 恢复 的 每 个 等 级 均 应 按 具体 要 求 制定 相应 的 灾难 恢复 预案 ,并 进行 落实 和 管理 。 


(1) 灾难 恢复 预案 的 制定 。 

灾难 恢复 预案 的 制定 应 遵循 以 下 原则 : 

@ 完整 性 。 灾 难 恢复 预案 (以 下 简称 “预案 ”) 应 包含 灾难 恢复 的 整个 过 程 ,以 及 灾难 恢 
复 所 需 的 尽 可 能 全 面 的 数据 和 资料 。 

@ 易 用 性 。 预 案 应 运用 易于 理解 语言 和 图 表 , 并 适合 在 紧急 情况 下 使 用 。 

@ 明确 性 。 预 案 应 采用 清晰 的 结构 ,对 资源 进行 清楚 的 描述 ,工作 内 容 和 步骤 应 具体 ， 
每 项 工作 应 有 明确 的 责任 人 。 

@ 有 效 性 。 预 案 应 尽 可 能 满足 灾难 发 生 时 进行 恢复 的 实际 需要 ,并 保持 与 实际 系统 和 
人 员 组 织 的 同步 更 新 。 

@ 兼容 性 。 灾 难 恢复 预案 应 与 其 他 应 急 预 案 体 系 有 机 结合 。 

在 灾难 恢复 预案 制定 原则 的 指导 下 ,其 制定 过 程 如 下 : 

@ 起草。 灾难 恢复 预案 框架 ,按照 风险 分 析 和 业务 影响 分 析 所 确定 的 灾难 恢复 内 容 ， 
根据 灾难 恢复 能 力 等 级 的 要 求 ,结合 组 织 其 他 相关 的 应 急 预 案 ,撰写 出 灾难 恢复 预案 的 
初稿 。 

@ 评审 。 组织 应 对 灾难 恢复 预案 初稿 的 完整 性 、 易 用 性 、 明 确 性 有 效 性 和 兼容 性 进行 
严格 的 评审 。 评 审 应 有 相应 的 流程 保证 。 

@ 测试 。 应 预先 制定 测试 计划 ,在 计划 中 说 明 测 试 的 案例 。 测 试 应 包含 基本 单元 测 
试 ,关联 测试 和 整体 测试 。 测 试 的 整个 过 程 应 有 详细 的 记录 ,并 形成 测试 报告 。 

@ 完善 。 根 据 评审 和 测试 结果 ,纠正 在 初稿 评审 过 程 和 测试 中 发 现 的 问题 和 缺陷 , 形 
成 预案 的 审批 稿 。 

@ 审核 和 批准 。 由 灾难 恢复 领导 小 组 对 审批 稿 进行 审核 和 批准 ,确定 为 预案 的 执 

行 稿 。 
(2) 灾难 恢复 预案 的 教育 .培训 和 演练 。 
为 了 使 相关 人 员 了 解 信息 系统 灾难 恢复 的 目标 和 流程 ,熟悉 灾难 恢复 的 操作 规程 ,组 织 
应 按 以 下 要 求 组 织 灾难 恢复 预案 的 教育 .培训 和 演练 : 在 灾难 恢复 规划 的 初期 就 应 开始 灾 
难 恢 复 观 念 的 宣传 教育 工作 ; 预先 对 培训 需求 进行 评估 ,包括 培训 的 频次 和 范围 ,开发 和 落 
实 相 应 的 培训 /教育 课程 ,保证 课程 内 容 与 预案 的 要 求 相 一 致 ,事后 保留 培训 的 记录 ; 预先 
制定 演练 计划 ,在 计划 中 说 明 演练 的 场景 ; 演练 的 整个 过 程 应 有 详细 的 记录 ,并 形成 报告 ; 
每 年 应 至 少 完成 一 次 有 最 终 用 户 参 与 的 完整 演练 。 

(3) 灾难 恢复 预案 的 管理 。 

经 过 审核 和 批准 的 灾难 恢复 预案 ,应 按照 以 下 原则 进行 保存 和 分 发 : 由 专人 负责 ; 具 
有 和 多 份 拷贝 在 不 同 的 地 点 保存 ; 分 发 给 参与 灾难 恢复 工作 的 所 有 人 员 ; 在 每 次 修订 后 所 有 
拷贝 统一 更 新 ,并 保留 一 套 ,以 备查 阅 ; 旧版 本 应 按 有 关 规 定 销毁 。 

为 了 保证 灾难 恢复 预案 的 有 效 性 ,应 从 以 下 方面 对 灾难 恢复 预案 进行 严格 的 维护 和 变 
更 管理 : 业务 流程 的 变化 \、 信 息 系统 的 变更 、 人 员 的 变更 都 应 在 灾难 恢复 预案 中 及 时 反映 ; 
预案 在 测试 ,演练 和 灾难 发 生 后 实际 执行 时 ,其 过 程 均 应 有 详细 的 记录 ,并 应 对 测试 演练 和 
执行 的 效果 进行 评估 ,同时 对 预案 进行 相应 的 修订 ; 灾难 恢复 预案 应 定期 评审 和 修订 ,至 少 
每 年 一 次 。 
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6.3 信息 安全 风险 评估 


本 节 将 介绍 信息 安全 风险 评估 标准 。 
6.3.1 信息 安全 风险 管理 概述 
以 下 内 容 是 陈 光 的 博士 论文 “信息 系统 信息 安全 风险 管理 方法 研究 "2006) 一 个 部 分 的 


节选 。 该 学 者 在 这 方面 进行 了 一 些 创新 性 研究 ,在 此 介绍 其 思想 是 希望 读者 能 了 解 其 核心 
的 科研 成 果 。 


1. 信息 系统 风险 定义 


信息 系统 安全 风险 指 在 信息 系统 当前 的 安全 措施 配置 情况 下 ,在 特定 时 间 内 威胁 发 起 
者 利用 相关 脆弱 性 成 功 实施 攻击 ,非法 获取 特定 信息 资产 上 特定 的 访问 权限 ,造成 信息 资产 
特定 对 象 安全 失效 的 潜在 频率 和 人 危害 性 。 其 度量 包括 三 个 方面 : 某 特定 时 间 ; 该 时 间 内 特 
定 信 息 资产 上 特定 的 访问 权限 被 非法 获取 的 频率 ; 特定 信息 资产 上 特定 的 访问 权限 被 非法 


获取 所 导致 的 损失 。 
风险 制造 者 指 对 信息 系统 进行 网 络 访问 内 部 或 外 部 人 员 。 其 目标 是 非法 获取 特定 信息 
资产 上 特定 的 访问 权限 。 

2. 安全 风险 管理 

信息 系统 信息 安全 风险 管理 有 6 个 阶段 (如 图 6-6 所 示 ) 。 

过 程 1 过 程 3 过 程 。 过 程 8 
-| 风险 风险 | | 风险 
! 、 资产 di ee 过 程 10 过 程 11 过 程 12 
| 识别 建 模 | | 评估 二 训 信息 安全 
! 过 各 程 4 | L | 兢 这 | 区 全 措施 | 系统 | 安全 | 友 案 
! 一 过 程 9 风 | 分 析 | 建议 “| 安全 | 方案 “| 全 维 
| 脆弱 风险 险 T 决策 护 
Sm 事件 什 
| 频率 
1 过 程 13 
人 过 程 5 计算 2 风险 
威胁 因素 
识别 动态 
| 过 程 6 分 析 
| 已 有 | 
1 安全 1 
| 措施 | 
识别 | 
: | | : 
和 1 
| | | | | | | 

1 1 1 1 1 

风险 管理 准备 。 风险 因素 识别 风险 分 析 与 评估 安全 保障 分 析 。 ”安全 决策 。 风险 监控 


6-6 信息 系统 信息 安全 风险 管理 方法 流程 框架 


1) 风险 管理 准备 阶段 

该 阶段 包括 风险 管理 计划 声明 和 信息 系统 描述 两 个 过 程 。 风 险 管理 计划 声明 对 整个 风 
险 管理 过 程 具有 指导 作用 , 它 主要 对 风险 管理 目标 .策略 程序 方法、 进度 安排 以 及 资源 约 
东 进 行规 定 。 信 息 系 统 描述 过 程 主要 从 主体 域 . 客 体 域 和 业务 域 三 个 视角 对 作为 风险 管理 
对 象 的 信息 系统 展开 描述 ,从 而 提供 一 个 信息 系统 组 成 与 运行 的 全 过 程 ,为 全 面 识别 各 种 信 
息 安 全 风险 因素 黄 定 基础 。 

2) 信息 安全 风险 因素 识别 阶段 

该 阶段 包括 关键 信息 资产 识别 .脆弱 性 识别 、 威 胁 识 别 和 已 有 安全 措施 识别 4 个 过 程 。 
信息 资产 .脆弱 性 和 威胁 是 导致 信息 安全 风险 的 因素 ,对 这 三 者 的 界定 分 别 通过 关键 信息 资 
产 识别 .脆弱 性 识别 和 威胁 识别 三 个 过 程 来 完成 。 其 中 ,关键 信息 资产 识别 过 程 研 究 的 是 如 
何在 众多 的 信息 资产 中 选择 影响 组 织 业务 运行 的 关键 信息 资产 ,从 而 保证 信息 安全 风险 管 
理 的 重点 突出 ,更 加 符合 工程 实践 的 要 求 。 已 有 安全 措施 识别 是 一 个 确认 信息 系统 当前 已 
采用 的 各 种 安全 措施 的 过 程 。 

3) 信息 安全 风险 分 析 与 评估 阶段 

该 阶段 包括 基于 利用 风险 事件 过 程 建 模 , 风 险 事件 频率 计算 ,风险 事件 损失 计算 三 个 过 
程 。 其 中 ,基于 利用 风险 事件 过 程 建 模 是 对 信息 安全 风险 事件 的 动态 形成 过 程 进 行 描述 的 
过 程 , 当 构建 出 描述 特定 风险 事件 形成 过 程 的 利用 图 后 ,可 以 根据 风险 事件 发 生 频 率 以 及 成 
功 概率 情况 直接 计算 风险 事件 频率 。 风 险 损失 计算 则 是 利用 合理 的 方法 直接 将 风险 损失 量 
化 为 等 价 货币 价值 的 过 程 。 

4) 信息 系统 安全 保障 分 析 阶 段 

在 信息 系统 信息 安全 风险 管理 方法 中 ,基于 美国 国安 局 制定 的 《信息 保障 技术 框架 
(IATF)》, 采 用 动态 信息 安全 保障 体系 (Protect,Detect,Response,Recovery, PDRR) 模 型 对 
被 评估 信息 系统 的 安全 保障 体系 进行 分 析 。 这 种 安全 保障 分 析 过 程 可 为 安全 决策 阶段 制定 
安全 方案 提供 某 种 宏观 意义 上 的 指导 。 当 安全 决策 人 员 需 要 从 若干 备 选 安 全 方案 中 优选 出 
最 佳 方案 时 ,安全 方案 能 否 在 信息 系统 初始 安全 保障 模型 的 基础 上 提升 信息 系统 的 纵深 防 
御 能 力也 是 评价 标准 之 一 。 

5) 信息 系统 安全 决策 阶段 

这 一 阶段 是 对 信息 安全 风险 的 评估 结果 而 定 。 一 般 而 言 , 任 何 试图 降低 信息 安全 风险 
的 安全 措施 都 需要 花费 一 定 的 费用 。 因 此 , 当 评估 得 到 的 各 个 信息 安全 风险 或 信息 系统 总 
信息 安全 风险 处 于 安全 决策 人 员 根 据 信 息 系统 安全 策略 制定 的 信息 安全 风险 冰 值 之 下 时 ， 
无 须 启动 安全 决策 过 程 。 若 评估 所 得 的 各 个 信息 安全 风险 或 信息 系统 总 信息 安全 风险 超出 
了 承受 水 平 , 就 需要 启动 安全 决策 过 程 ,制订 信息 安全 方案 来 降低 信息 安全 风险 。 

6) 信息 安全 风险 动态 监控 阶段 

对 大 多 数组 织 来 说 ,信息 系统 本 身 在 不 断 更 新 和 变化 ,其 中 信息 系统 软 硬 件 基础 设施 的 
状态 ,信息 系统 所 面临 的 威胁 ,信息 系统 具有 的 脆弱 性 ,信息 系统 相关 人 员 ,信息 系统 安全 策 
略 , 甚 至 是 风险 管理 决策 层 的 信息 安全 投资 额度 均 可 能 发 生动 态 变化 ,安全 方案 执行 情况 也 
会 产生 与 计划 的 偏差 。 因 此 应 该 对 信息 系统 的 信息 安全 风险 进行 持续 的 监控 。 风 险 分 析 应 
以 24 个 月 或 更 短 的 时 间 为 周期 重复 进行 。 
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3. 安全 风险 管理 组 织 


如 图 6-7 所 示 , 组 织 首席 信息 官 (Chief Information Officer,CIO) 是 实施 信息 系统 信息 
安全 风险 管理 的 负责 人 ,负责 向 组 织 最 高 管理 层 汇报 工作 进展 、 获 取 资 源 支持 、 申 请 相关 人 
员 协 助 、 提 交 风 险 评 估 和 安全 决策 结论 ,同时 积极 推进 获准 的 风险 管理 结果 , 即 安全 方案 
的 实施 。 组 织 最 高 管理 层 则 主要 审批 CIO 的 资源 申请 、 人 员 申 请 ,保证 风险 管理 团队 与 
组 织 内 、 外 相关 人 员 协 作 与 交流 渠道 通畅 ,责成 组 织 各 部 门 支持 信息 系统 信息 安全 风险 
管理 的 开展 ,并 对 最 终 安 全 决策 结果 进行 裁决 ,一 旦 批准 则 在 政策 ,管理 资源、 人事 方面 
予以 保障 。 


| 
组 织 最 高 管理 层 1 
1 1 
a i 
组 织 首席 信息 官 其 他 组 织 高 层 | !! | } | 与 信息 系统 相关 | ! 
管理 人 员 | } | ;| 的 第 = 方 人 员 | ! 
neta Pasa 人 人 1 | 
!「 其 他 信息 系统 部 门 经 理 |; ! | 外 部 用 户 | | 
风险 管理 协调 员 1 管理 人 员 和 1 
1 tt - 
| 1 1 I 了 | 组织 工作 人 员 | 1 
! [组 织 高 层 管理 人 员 ]! | [决策 辅助 人 员 1!， 组织 外 部 相关 人 员 
并 
级 [信息 系统 管理 人 员 ]， 
| 
| t | 
1 | 信息 安全 专家 | 
(sm J 


信息 安全 风险 管理 团队 
6-7 信息 系统 信息 安全 风险 管理 的 组 织 管理 图 


信息 安全 风险 管理 团队 是 履行 信息 安全 风险 管理 方法 的 机 构 , 由 CIO 组 建 一 名 风险 管 
理 协调 员 一 个 决策 小 组 和 一 名 决策 辅助 员 。 

风险 管理 协调 员 主 要 负责 制定 时 间 表 、 提 供 后 勤 保障 .处 理 意外 事件 ,协助 CIO 管理 和 
监督 信息 系统 信息 安全 风险 管理 中 各 过 程 工作 的 实行 ,协助 决策 小 组 与 相关 人 员 的 协作 与 
交流 以 收集 风险 信息 ,以 及 汇总 工作 成 果 并 向 CIO 汇报 等 工作 。 协 调 员 可 以 是 专职 ,也 可 
以 是 兼职 ,根据 CIO 的 需要 而 定 。 

决策 小 组 以 及 决策 辅助 员 负 责 开 展 信 息 系 统 信息 安全 风险 管理 中 各 过 程 的 具体 工作 。 
决策 小 组 成 员 包括 组 织 高 层 管理 人 员 、 信 息 系 统管 理 人 员 以 及 信息 安全 专家 多 种 人 员 ,在 开 
展 信息 系统 信息 安全 风险 管理 方法 的 各 个 过 程 工 作 中 共同 进行 评估 、 判 断 与 决策 ,从 而 使 各 
个 过 程 的 结论 能 充分 纳入 管理 层 、 技 术 层 以 及 安全 专家 的 综合 意见 ,避免 “独裁 ?现象 的 发 
生 ; 其 中 信息 安全 专家 既 可 是 来 自 组 织 内 部 ,也 可 是 外 聘 的 。 对 于 决策 小 组 中 的 成 员 可 统 
称 为 安全 决策 人 员 ( 或 决策 者 ) 。 决 策 辅助 员 并 不 直接 参与 信息 系统 信息 安全 风险 管理 中 各 
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过 程 的 分 析 与 判断 ,只 是 利用 特定 的 决策 技术 将 决策 小 组 中 各 决策 者 的 评判 意见 收集 并 整 
合 , 以 形成 统一 的 决策 结果 。 


6.3.2 信息 安全 风险 评估 标准 


随 着 政府 部 门 、 企 事业 单位 以 及 各 行 各 业 对 信息 系统 依赖 程度 的 日 益 增 强 ,信息 安全 问 
题 受 到 普遍 关注 。 运 用 风险 评估 去 识别 安全 风险 ,解决 信息 安全 问题 得 到 了 广泛 的 认识 和 
应 用 。 信 息 安全 风险 评估 就 是 从 风险 管理 角度 ,运用 科学 的 方法 和 手段 ,系统 地 分 析 信息 系 
统 所 面临 的 威胁 及 其 存在 的 脆弱 性 ,评估 安全 事件 一 旦 发 生 可 能 造成 的 危害 程度 ,提出 有 针 
对 性 的 抵御 威胁 的 防护 对 策 和 整改 措施 。 为 防范 和 化 解 信息 安全 风险 ,将 风险 控制 在 可 接 
受 的 水 平 ,从 而 最 大 限度 地 保障 信息 安全 提供 科学 依据 。 信 息 安全 风险 评估 作为 信息 安全 
保障 工作 的 基础 性 工作 和 重要 环节 ,要 贯穿 于 信息 系统 的 规划 设计 、 实 施 、 运 行 维护 以 及 废 
弃 各 个 阶段 ,是 信息 安全 等 级 保护 制度 建设 的 重要 科学 方法 之 一 。2007 年 国家 标准 (信息 
安全 技术 信息 安全 风险 评估 规范 》(GB/T 20984 一 2007) 颁 布 。 以 下 是 其 内 容 介 绍 ; 


1. 概念 术语 


(1) 保密 性 。 数 据 所 具有 的 特性 , 即 表 示 数 据 所 达到 的 未 提供 或 未 泄露 给 非 授 权 的 个 
人 、 过 程 或 其 他 实体 的 程度 。 

(2) 信息 安全 风险 。 人 为 或 自然 的 威胁 利用 信息 系统 及 其 管理 体系 中 存在 的 脆弱 性 导 
致 安全 事件 的 发 生 及 其 对 组 织造 成 的 影响 。 

(3) 信息 安全 风险 评估 。 依 据 有 关 信息 安全 技术 与 管理 标准 ,对 信息 系统 及 由 其 处 理 、 
传输 和 存储 的 信息 的 保密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 评价 的 过 程 。 它 要 评估 资产 
面临 的 威胁 以 及 威胁 利用 脆弱 性 导致 安全 事件 的 可 能 性 ,并 结合 安全 事件 所 涉及 的 资产 价 
值 来 判断 安全 事件 一 旦 发 生 对 组 织造 成 的 影响 。 

(4) 检查 评估 。 巾 被 评估 组 织 的 上 级 主管 机 关 或 业务 主管 机 关 发 起 的 ,依据 国家 有 关 
法 规 与 标准 ,对 信息 系统 及 其 管理 进行 的 具有 强制 性 的 检查 活动 。 

(5) 完整 性 。 保 证 信息 及 信息 系统 不 会 被 非 授权 更 改 或 破坏 的 特性 。 包 括 数 据 完整 性 
和 系统 完整 性 。 

(6) 残余 风险 。 采 取 了 安全 措施 后 ,信息 系统 仍然 可 能 存在 的 风险 。 

(7) 自 评估 。 由 组 织 自 身 发 起 ,依据 国家 有 关 法 规 与 标准 ,对 信息 系统 及 其 管理 进行 的 
风险 评估 活动 。 

(8) 安全 措施 。 保 护 资产 ,抵御 威胁 减少 脆弱 性 、 降 低 安全 事件 的 影响 ,以 及 打击 信息 
犯罪 而 实施 的 各 种 实践 ,规程 和 机 制 。 

(9) 安全 需求 。 为 保证 组 织 业务 战略 的 正常 运作 而 在 安全 措施 方面 提出 的 要 求 。 

(10) 威胁 。 可 能 导致 对 系统 或 组 织 危害 的 不 希望 事故 潜在 起 因 。 

(11) 脆弱 性 。 可 能 被 威胁 所 利用 的 资产 或 若干 资产 的 薄弱 环节 。 


2. 风险 评估 框架 及 流程 


1) 风险 要 素 关系 
风险 评估 中 各 要 素 的 关系 如 图 6-8 所 示 。 图 6-8 中 方 框 部 分 的 内 容 为 风险 评估 的 基本 
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要 素 ,椭圆 部 分 的 内 容 是 与 这 些 要 素 相关 的 属性 。 风 险 评估 围绕 着 资产 ,威胁 、 脆 弱 性 和 安 
全 措施 这 些 基本 要 素 展开 ,在 对 基本 要 素 的 评估 过 程 中 ,需要 充分 考虑 业务 战略 、 资 产 价值 、 
安全 需求 .安全 事件 ,残余 风险 等 与 这 些 基本 要 素 相关 的 各 类 属性 。 

图 6-8 中 的 风险 要 素 及 属性 之 间 存 在 着 以 下 关系 : 业务 战略 的 实现 对 资产 具有 依赖 
性 ,依赖 程度 越 高 ,要 求 其 风险 越 小 ; 资产 是 有 价值 的 ,组 织 的 业务 战略 对 资产 的 依赖 程度 
越 高 ,资产 价值 就 越 大 ; 风险 是 由 威胁 引发 的 ,资产 面临 的 威胁 越 多 则 风险 越 大 ,并 可 能 演 
变 成 安全 事件 ; 资产 的 脆弱 性 可 能 暴露 资产 的 价值 ,资产 具有 的 脆弱 性 越 多 则 风险 越 大 ; 
脆弱 性 是 未 被 满足 的 安全 需求 ,威胁 利用 脆弱 性 危害 资产 ; 风险 的 存在 及 对 风险 的 认识 导 
出 安全 需求 ; 安全 需求 可 通过 安全 措施 得 以 满足 ,需要 结合 资产 价值 考虑 实施 成 本 ; 安全 
措施 可 抵御 威胁 ,降低 风险 ; 残余 风险 有 些 是 安全 措施 不 当 或 无 效 ,需要 加 强 才 可 控制 的 风 
险 ,而 有 些 则 是 在 综合 考虑 了 安全 成 本 与 效益 后 不 去 控制 的 风险 ; 残余 风险 应 受到 密切 监 
视 , 它 可 能 会 在 将 来 诱发 新 的 安全 事件 。 


图 6-8 风险 评估 要 素 关系 图 


2) 风险 分 析 原 理 

风险 分 析 原理 如 图 6-9 所 示 。 风 险 分 析 中 要 涉及 资产 ,威胁 和 脆弱 性 三 个 基本 要 素 。 
每 个 要 素 有 各 自 的 属性 ,资产 的 属性 是 资产 价值 ; 威胁 的 属性 可 以 是 威胁 主体 、 影 响 对 象 、 
出 现 频率 ,动机 等 ; 脆弱 性 的 属性 是 资产 弱点 的 严重 程度 。 风 险 分 析 的 主要 内 容 为 : 对 资 
产 进 行 识别 ,并 对 资产 的 价值 进行 赋值 ; 对 威胁 进行 识别 ,描述 威胁 的 属性 ,并 对 威胁 出 现 
的 频率 赋值 ; 对 脆弱 性 进行 识别 ,并 对 具体 资产 的 脆弱 性 的 严重 程度 赋值 ; 根据 威胁 及 威 
胁 利用 脆弱 性 的 难 易 程 度 判 断 安全 事件 发 生 的 可 能 性 ; 根据 脆弱 性 的 严重 程度 及 安全 事件 
所 作用 的 资产 的 价值 计算 安全 事件 造成 的 损失 ; 根据 安全 事件 发 生 的 可 能 性 以 及 安全 事件 
出 现 后 的 损失 ,计算 安全 事件 一 旦 发 生 对 组 织 的 影响 , 即 风险 值 。 


威胁 出现 
的 频率 ”| [去 下 市 作 
的 可 能 性 
| 
脆弱 性 识别 直人 性 和 二 
| 安全 事件 
资产 识别 小 一 | 资产 价值 | 一 的 损失 


图 6-9 风险 分 析 原 理 图 


威胁 识别 
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3) 实施 流程 
风险 评估 的 实施 流程 如 图 6-10 所 示 。 


风险 评估 准备 


1 1 1 
资产 识别 威胁 识别 脆弱 性 识别 


a 
已 有 安全 措施 的 确认 


保持 已 有 的 安全 措施 


制定 和 实施 风险 处 理 
计划 并 评估 残余 风险 


1 
! 风险 评估 文件 记录 
实施 风险 管理 的 Ee 


图 6-10 风险 评估 实施 流程 图 


3. 风险 评估 实施 


1) 风险 评估 准备 

风险 评估 准备 是 整个 风险 评估 过 程 有 效 性 的 保证 。 组 织 实施 风险 评估 是 一 种 战略 性 的 
考虑 ,其 结果 将 受到 组 织 的 业务 战略 .业务 流程 .安全 需求 ,系统 规模 和 结构 等 方面 的 影响 。 
因此 ,在 风险 评估 实施 前 应 确定 风险 评估 的 目标 ; 确定 风险 评估 的 范围 ; 组 建 适当 的 评估 
管理 与 实施 团队 ; 进行 系统 调研 ; 确定 评估 依据 和 方法 ; 制定 风险 评估 方案 ; 获得 最 高 管 
理 者 对 风险 评估 工作 的 支持 。 

(1) 确定 目标 。 根 据 满足 组 织 业务 持续 发 展 在 安全 方面 的 需要 法律 法 规 的 规定 等 内 
容 , 识 别 现 有 信息 系统 及 管理 上 的 不 足 , 以 及 可 能 造成 的 风险 大 小 。 

(2) 确定 范围 。 风 险 评估 范围 可 能 是 组 织 全 部 的 信息 及 与 信息 处 理 相关 的 各 类 资产 、 
管理 机 构 ,也 可 能 是 某 个 独立 的 信息 系统 .关键 业务 流程 .与 客户 知识 产权 相关 的 系统 或 部 
门 等 。 


(3) 组 建 团 队 。 风 险 评估 实施 团队 由 管理 层 `. 相 关 业 务 骨干 信息 技术 等 人 员 组 成 风险 
评估 小 组 。 必 要 时 ,可 组 建 由 评估 方 、 被 评估 方 领导 和 相关 部 门 负责 人 参加 的 风险 评估 领导 
小 组 ,聘请 相关 专业 的 技术 专家 和 技术 骨干 组 成 专家 小 组 。 评 估 实 施 团队 应 做 好 评估 前 
的 表格 文档、 检测 工具 等 各 项 准备 工作 ,进行 风险 评估 技术 培训 和 保密 教育 ,制定 风险 
评估 过 程 管理 相关 规定 。 可 根据 被 评估 方 要 求 , 双 方 签 署 保 密 合同 ,必要 时 签署 个 人 保 
密 协议 。 

(4) 系统 调研 。 系 统 调研 是 确定 被 评估 对 象 的 过 程 ,风险 评估 小 组 应 进行 充分 的 系统 
调研 ,为 风险 评估 依据 和 方法 的 选择 .评估 内 容 的 实施 葛 定 基础 。 调 研 内 容 至 少 应 包括 业务 
战略 及 管理 制度 ; 主要 的 业务 功能 和 要 求 ; 网 络 结构 与 网 络 环境 ,包括 内 部 连接 和 外 部 连 
接 ; 系统 边界 ; 主要 的 硬件 .软件 ; 数据 和 信息 ; 系统 和 数据 的 敏感 性 ; 支持 和 使 用 系统 的 
人 员 ; 其 他 。 系 统 调研 可 以 采取 问卷 调查 、 现 场面 谈 相 结合 的 方式 进行 。 调 查 问卷 是 提供 
一 套 关 于 管理 或 操作 控制 的 问题 表格 , 供 系 统 技术 或 管理 人 员 填 写 ; 现场 面谈 则 是 由 评估 
人 员 到 现场 观察 并 收集 系统 在 物理 、 环 境 和 操作 方面 的 信息 。 

(5) 确定 依据 。 根 据 系统 调研 结果 ,确定 评估 依据 和 评估 方法 。 评 估 依 据 包括 (但 不 仅 
限于 ) 现 有 国际 标准 、 国 家 标准 \ 行 业 标准 ; 行业 主管 机 关 的 业务 系统 的 要 求 和 制度 ; 系统 
安全 保护 等 级 要 求 ; 系统 互联 单位 的 安全 要 求 ; 系统 本 身 的 实时 性 或 性 能 要 求 等 。 根 据 评 
佑 依据, 应 考虑 评估 的 目的 ,范围 .时 间 、 效 果 、 人 员 素 质 等 因素 来 选择 具体 的 风险 计算 方法 ， 
并 依据 业务 实施 对 系统 安全 运行 的 需求 确定 相关 的 判断 依据 ,使 之 能 够 与 组 织 环境 和 安全 
要 求 相 适 应 。 

(6) 制定 方案 。 风 险 评估 方案 的 目的 是 为 后 面 的 风险 评估 实施 活动 提供 一 个 总 体 计 
划 , 用 于 指导 实施 方 开展 后 续 工 作 。 风 险 评 估 方 案 的 内 容 一 般 包 括 ( 但 不 仅 限于 ): 团队 
组 织 , 包 括 评估 团队 成 员 、 组 织 结构 、 角 色 、 责 任 等 内 容 ; 工作 计划 ,风险 评估 各 阶段 的 工 
作 计 划 , 包 括 工作 内 容 、 工 作 形 式 、 工 作成 果 等 内 容 , 时 间 进 度 安排 ,项 目 实施 的 时 间 进 度 
安排 。 

(7) 获得 支持 。 上 述 所 有 内 容 确 定 后 ,应 形成 较为 完整 的 风险 评估 实施 方案 ,得 到 组 织 
最 高 管理 者 的 支持 ,批准 ; 对 管理 层 和 技术 人 员 进 行 传达 ,在 组 织 范围 就 风险 评估 相关 内 容 
进行 培训 ,以 明确 有 关 人 员 在 风险 评估 中 的 任务 。 

2) 资产 识别 

(1) 资产 分 类 。 保密 性 、 完 整 性 和 可 用 性 是 评价 资产 的 三 个 安全 属性 。 风 险 评 估 中 
资产 的 价值 不 是 以 资产 的 经 济 价 值 来 衡量 ,而 是 由 资产 在 这 三 个 安全 属性 上 的 达成 程度 
或 者 其 安全 属性 未 达成 时 所 造成 的 影响 程度 来 决定 的 。 安 全 属性 达成 程度 的 不 同 将 使 
资产 具有 不 同 的 价值 ,而 资产 面临 的 威胁 、 存 在 的 脆弱 性 ,以 及 已 采用 的 安全 措施 都 将 对 
资产 安全 属性 的 达成 程度 产生 影响 。 为 此 ,应 对 组 织 中 的 资产 进行 识别 。 在 一 个 组 织 
中 ,资产 有 多 种 表现 形式 。 同 样 的 两 个 资产 也 因 属 于 不 同 的 信息 系统 而 重要 性 不 同 ,而 
且 对 于 提供 多 种 业务 的 组 织 ,其 支持 业务 持续 运行 的 系统 数量 可 能 更 多 。 这 时 首先 需要 
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将 信息 系统 及 相关 的 资产 进行 恰当 的 分 类 ,以 此 为 基础 进行 下 一 步 的 风险 评估 。 在 实际 
工作 中 ,具体 的 资产 分 类 方法 可 以 根据 具体 的 评估 对 象 和 要 求 ,由 评估 者 灵活 把 握 。 根 
据 资产 的 表现 形式 ,可 将 资产 分 为 数据 软件、 硬件、 服务 和 人 员 等 类 型 。 表 6-1 列 出 了 一 
种 资产 分 类 方法 。 


表 6-1 一 种 基于 表现 形式 的 资产 分 类 方法 


分 类 


示 例 


数据 


软件 


硬件 


服务 


人 员 
其 他 


保存 在 信息 媒介 上 的 各 种 数据 资料 ,包括 源 代码 .数据库 数据 、 系 统 文档 、 运 行 管理 规程 、 计 
划 、 报 告 .用 户 手册 、 各 类 纸 质 的 文档 等 


系统 软件 : 操作 系统 ,数据库 管理 系统 、 语 句 包 、 开 发 系统 等 
应 用 软件 : 办 公 软 件 ,数据库 软 件 、 各 类 工具 软件 等 
源 程序 : 各 种 共享 源 代码 .自行 或 合作 开发 的 各 种 代码 等 


网 络 设备 : 路 由 器 网关、 交换 机 等 

计算 机 设备 : 大 型 机 小 型 机 、 服 务 器 .工作 站 、 台 式 计算 机 、 便 携 计 算 机 等 
存储 设备 : 磁带 机 、 磁 盘 阵 列 、 磁 带 、 光 盘 、 软 盘 、 移 动 硬盘 等 

传输 线路 : 光纤 、 双 绞 线 等 

保障 设备 : UPS、 变 电 设备 ,空调 ,保险 柜 、 文 件 柜 .门禁 、 消 防 设施 等 

安全 设备 : 防火 墙 , 人 侵 检测 系统 .身份 鉴别 等 

其 他 : 打印 机 、 复 印 机 、 扫 描 仪 . 传 真 机 等 


信息 服务 : 对 外 依赖 该 系统 开展 的 各 类 服务 

网 络 服务 : 各 种 网 络 设备 .设施 提供 的 网 络 连接 服务 

办 公 服 务 : 为 提高 效率 而 开发 的 管理 信息 系统 ,包括 各 种 内 部 配置 管理 ,文件 流转 管理 等 
服务 


掌握 重要 信息 和 核心 业务 的 人 员 ,如 主机 维护 主管 .网 络 维护 主管 及 应 用 项 目 经 理 等 
企业 形象 ,客户 关系 等 


(2) 资产 赋值 。 根 据 资产 在 保密 性 上 的 不 同 要 求 ,将 保密 性 赋值 分 为 5 个 不 同 的 等 级 ， 
分 别 对 应 资产 在 保密 性 上 应 达成 的 不 同 程度 或 者 保密 性 缺失 时 对 整个 组 织 的 影响 。 表 6-2 
提供 了 一 种 保密 性 赋值 的 参考 。 


表 6-2 资产 保密 性 赋值 表 


赋值 


标识 定义 


5 


很 高 包含 组 织 最 重要 的 秘密 ,关系 未 来 发 展 的 前 途 命运 ,对 组 织 根本 利益 有 着 决定 性 
的 影响 ,如 果 泄 露 会 造成 灾难 性 的 损害 


高 包含 组 织 的 重要 秘密 ,其 泄露 会 使 组 织 的 安全 和 利益 遭受 严重 损害 

中 等 组 织 的 一 般 性 秘密 ,其 泄露 会 使 组 织 的 安全 和 利益 受到 损害 

低 仅 能 在 组 织 内 部 或 在 组 织 的 某 一 部 门 内 部 公开 的 信息 ,向 外 扩散 有 可 能 对 组 织 
的 利益 造成 轻微 损害 


很 低 可 对 社会 公开 的 信息 ,公用 的 信息 处 理 设 备 和 系统 资源 等 
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根据 资产 在 完整 性 上 的 不 同 要 求 , 将 完整 性 赋值 分 为 5 个 不 同 的 等 级 ,分 别 对 应 资产 在 
完整 性 上 缺失 时 对 整个 组 织 的 影响 。 表 6-3 提供 了 一 种 完整 性 赋值 的 参考 。 


表 6-3 资产 完整 性 赋值 表 


赋值 


标识 


定 义 


5 


很 高 


高 


中 等 


低 


很 低 


完整 性 价值 非常 关键 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 的 或 无 法 接受 
的 影响 ,对 业务 冲击 重大 ,并 可 能 造成 严重 的 业务 中 断 , 难 以 弥补 

完整 性 价值 较 高 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 重大 影响 ,对 业务 冲击 严 
重 , 较 难 弥 补 

完整 性 价值 中 等 ,未 经 授权 的 修改 或 破坏 会 对 组 织造 成 影响 ,对 业务 冲击 明显 ， 
但 可 以 弥补 

完整 性 价值 较 低 , 未 经 授权 的 修改 或 破坏 会 对 组 织造 成 轻微 影响 ,对 业务 冲击 轻 
微 ,容易 弥补 

完整 性 价值 非常 低 , 未 经 授权 的 修改 或 破坏 对 组 织造 成 的 影响 可 以 忽略 ,对 业务 
冲击 可 以 忽略 


根据 资产 在 可 用 性 上 的 不 同 要 求 ,将 可 用 性 赋值 分 为 5 个 不 同 的 等 级 ,分 别 对 应 资产 在 
可 用 性 上 应 达成 的 不 同 程度 。 表 6-4 提供 了 一 种 可 用 性 赋值 的 参考 。 


表 6-4 资产 可 用 性 赋值 表 
定 义 


很 低 


可 用 性 价值 非常 高 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 达 到 年 度 99. 9% 以 
上 ,或 系统 不 允许 中 断 

可 用 性 价值 较 高 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 达 到 每 天 90% 以 上 ， 
或 系统 允许 中 断 时 间 小 于 10min 

可 用 性 价值 中 等 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 达 到 
70% 以 上 ,或 系统 允许 中 断 时 间 小 于 30min 

可 用 性 价值 较 低 , 合 法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 达 到 
25% 以 上 ,或 系统 允许 中 断 时 间 小 于 60min 

可 用 性 价值 可 以 忽略 ,合法 使 用 者 对 信息 及 信息 系统 的 可 用 度 在 正常 工作 时 间 
低 于 25% 


资产 价值 应 依据 资产 在 保密 性 、 完 整 性 和 可 用 性 上 的 赋值 等 级 ,经 过 综合 评定 得 出 。 综 
合 评定 方法 可 以 根据 自身 的 特点 ,选择 对 资产 保密 性 、 完 整 性 和 可 用 性 最 为 重要 的 一 个 属性 
的 赋值 等 级 作为 资产 的 最 终 赋 值 结 果 ; 也 可 以 根据 资产 保密 性 、 完 整 性 和 可 用 性 的 不 同等 
级 对 其 赋值 进行 加 权 计算 得 到 资产 的 最 终 赋值 结果 。 加 权 方 法 可 根据 组 织 的 业务 特点 


确定 。 


本 标准 中 ,为 与 上 述 安全 属性 的 赋值 相对 应 ,根据 最 终 赋 值 将 资产 划分 为 5 级 ,级 别 越 
高 表示 资产 越 重 要 。 也 可 以 根据 组 织 的 实际 情况 确定 资产 识别 中 的 赋值 依据 和 等 级 。 
表 6-5 中 的 资产 等 级 划分 表明 了 不 同等 级 的 重要 性 的 综合 描述 。 评 估 者 可 根据 资产 赋值 结 
果 确 定 重要 资产 的 范围 ,并 主要 围绕 重要 资产 进行 下 一 步 的 风险 评估 。 


表 6-5 资产 等 级 及 含义 描述 


等 级 标识 描 述 
3 很 高 非常 重要 ,其 安全 属性 破坏 后 可 能 对 组 织造 成 非常 严重 的 损失 
4 高 重要 ,其 安全 属性 破坏 后 可 能 对 组 织造 成 比较 严重 的 损失 
3 中 等 比较 重要 ,其 安全 属性 破坏 后 可 能 对 组 织造 成 中 等 程度 的 损失 
2 低 不 太 重 要 ,其 安全 属性 破坏 后 可 能 对 组 织造 成 较 低 的 损失 
间 很 低 不 重要 ,其 安全 属性 破坏 后 对 组 织造 成 很 小 的 损失 ,甚至 忽略 不 计 
3) 威胁 识别 


(1) 威胁 分 类 。 威 胁 可 以 通过 威胁 主体 资源、 动机 .途径 等 多 种 属性 来 描述 。 造 成 威 
胁 的 因素 可 分 为 人 为 因素 和 环境 因素 。 根 据 威胁 的 动机 ,人 为 因素 又 可 分 为 恶意 和 非 恶 意 
两 种 。 环 境 因 素 包 括 自然 界 不 可 抗 的 因素 和 其 他 物理 因素 。 威 胁 的 作用 形式 可 以 是 对 信息 
系统 直接 或 间接 的 攻击 ,在 保密 性 、 完 整 性 和 可 用 性 等 方面 造成 损害 ; 也 可 能 是 偶发 的 或 蓄 
意 的 事件 。 在 对 威胁 进行 分 类 前 ,应 考虑 威胁 的 来 源 。 表 6-6 提供 了 一 种 威胁 来 源 的 分 类 


方法 。 


来 源 


表 6-6 威胁 来 源 列表 
描 述 


环境 因素 


断 电 、 静 电 \ 灰 尘 ` 潮 湿 、 温 度 、 鼠 蚁 虫害 .电磁 干扰 洪灾 、 火 灾 、 地 震 、 意 外 事故 等 
环境 危害 或 自然 灾害 ,以 及 软件 ,硬件 数据、 通信 线路 等 方面 的 故障 


恶意 人 员 
人 为 因素 


不 满 的 或 有 预谋 的 内 部 人 员 对 信息 系统 进行 恶意 破坏 ; 采用 自主 或 内 外 勾结 的 
方式 盗窃 机 密 信息 或 进行 自 改 ,获取 利益 。 

外 部 人 员 利 用 信息 系统 的 脆弱 性 ,对 网 络 或 系统 的 保密 性 、 完 整 性 和 可 用 性 进行 
破坏 ,以 获取 利益 或 炫 泡 能 力 


徘 恶意 人 员 


内 部 人 员 由 于 缺乏 责任 心 ,或 者 由 于 不 关心 或 不 专注 ,或 者 没有 遵循 规章 制度 和 
操作 流程 而 导致 故障 或 信息 损坏 ; 内 部 人 员 由 于 缺乏 培训 专业 技能 不 足 \ 不 具 
备 岗位 技能 要 求 而 导致 信息 系统 故障 或 被 攻击 


对 威胁 进行 分 类 的 方式 有 多 种 ,针对 表 6-6 所 示 的 威胁 来 源 , 可 以 根据 其 表现 形式 将 威 
胁 进行 分 类 。 表 6-7 提供 了 一 种 基于 表现 形式 的 威胁 分 类 方法 。 


表 6-7 一 种 基于 表现 形式 的 威胁 分 类 表 


描 述 


威胁 子 类 


作 失 误 
管理 不 到 位 


对 业务 实施 或 系统 运行 产生 影响 的 设备 硬 
件 故障 、 通 信和 链 路 中 断 、 系 统 本 身 或 软件 缺 
陷 等 问题 

对 信息 系统 正常 运行 造成 影响 的 物理 环境 
问题 和 自然 灾害 

应 该 执行 而 没有 执行 相应 的 操作 ,或 无 意 中 
执行 了 错误 的 操作 

安全 管理 无 法 落实 或 不 到 位 ,从 而 破坏 信息 
系统 正常 有 序 运行 


设备 硬件 故障 、 传 输 设 备 故障 、 存 储 媒体 故 
障 、 系 统 软件 故障 、 应 用 软件 故障 、 数 据 库 
软件 故障 、 开 发 环境 故障 等 

断 电 、 静 电 、 灰 尘 、 潮 湿 \ 温 度 、 鼠 蚁 虫害 、 电 
磁 和 干扰、 洪灾、 火灾 、 地 震 等 
维护 错误 .操作 失误 等 


管理 制度 和 策略 不 完善 .管理 规程 缺失 、 职 
责 不 明确 、 监 督 控 管 机 制 不 健全 等 


续 表 
种 类 描 述 威胁 子 类 
恶意 代码 故意 在 计算 机 系统 上 执行 恶意 任务 的 程序 ”病毒 .特洛伊 木马 .蠕虫 、 陷 门 、 间 谍 软 件 、 
代码 窃听 软件 等 
越权 或 滥用 ”通过 采用 一 些 措施 ,超越 自己 的 权限 访问 了 非 授权 访问 网 络 资源 、 非 授权 访问 系统 资 
本 来 无 权 访问 的 资源 ,或 者 滥用 自己 的 权限 源 、 滥 用 权限 非 正 常 修改 系统 配置 或 数据 、 
做 出 破坏 信息 系统 的 行为 滥用 权限 泄露 秘密 信息 等 
网 络 攻击 。 “利用 工具 和 技术 通过 网 络 对 信息 系统 进行 ”网 络 探测 和 信息 采集 、 漏洞 探测 、 嗅 探 ( 账 
攻击 和 入 侵 号 ,口令 ,权限 等 )、 用 户 身份 伪造 和 欺骗 、 
用 户 或 业务 数据 的 窃取 和 破坏 .系统 运行 
的 控制 和 破坏 等 
物理 攻击 。 通过 物理 的 接触 造成 对 软件 .硬件 .数据 的 ”物理 接触 ,物理 破坏 .盗窃 等 
破坏 
泄密 信息 泄露 给 不 应 了 解 的 他 人 内 部 信息 泄露 ,外 部 信息 泄露 等 
自 改 非法 修改 信息 ,破坏 信息 的 完整 性 ,使 系统 ” 臭 改 网 络 配 置信 息 、 臭 改 系 统 配 置信 息 、 臭 
的 安全 性 降低 或 信息 不 可 用 改 安全 配置 信息 、 纂 改 用 户 身 份 信息 或 业 
务 数据 信息 等 
抵赖 不 承认 收 到 的 信息 和 所 作 的 操作 和 交易 原 发 抵赖 ,接收 抵赖 、 第 三 方 抵赖 等 


(2) 威胁 赋值 。 判 断 威胁 出 现 的 频率 是 威胁 赋值 的 重要 内 容 , 评 估 者 应 根据 经 验 和 
(或 ) 有 关 的 统计 数据 来 进行 判断 。 在 评估 中 ,需要 综合 考虑 以 下 三 个 方面 ,以 形成 在 某 种 评 
估 环 境 中 各 种 威胁 出 现 的 频率 : 以 往 安全 事件 报告 中 出 现 过 的 威胁 及 其 频率 的 统计 ; 实际 
环境 中 通过 检测 工具 以 及 各 种 日 志 发 现 的 威胁 及 其 频率 的 统计 ; 近 一 两 年 来 国际 组 织 发 布 
的 对 于 整个 社会 或 特定 行业 的 威胁 及 其 频率 统计 ,以 及 发 布 的 威胁 预警 。 

可 以 对 威胁 出 现 的 频率 进行 等 级 化 处 理 , 不 同等 级 分 别 代表 威胁 出 现 的 频率 的 高 低 。 
等 级 数值 越 大 ,威胁 出 现 的 频率 越 高 。 表 6-8 提供 了 威胁 出 现 频率 的 一 种 赋值 方法 。 在 实 
际 的 评估 中 ,威胁 频率 的 判断 依据 应 在 评估 准备 阶段 根据 历史 统计 或 行业 判断 予以 确定 ,并 
得 到 被 评估 方 的 认可 。 


表 6-8 威胁 赋值 表 

等 级 标识 定义 

5 很 高 出 现 的 频率 很 高 (或 大 于 等 于 1 次 / 周 ); 或 在 大 多 数 情况 下 几乎 不 可 避免; 或 可 
以 证 实 经 常 发 生 过 

4 高 出 现 的 频率 较 高 (或 大 于 等 于 1 次 /月 ); 或 在 大 多 数 情况 下 很 有 可 能 会 发 生 ; 或 
可 以 证 实 多 次 发 生 过 

3 中 等 出 现 的 频率 中 等 (或 大 于 1 次 /半年 ); 或 在 某 种 情况 下 可 能 会 发 生 ; 或 被 证 实 曾 
经 发 生 过 

多 低 出 现 的 频率 较 小 ; 或 一 般 不 太 可 能 发 生 ; 或 没有 被 证 实 发 生 过 

| 很 低 威胁 几乎 不 可 能 发 生 ; 仅 可 能 在 非常 军 见 和 例外 的 情况 下 发 生 

4) 脆弱 性 识别 


(1) 脆弱 性 识别 内 容 。 脆 弱 性 是 资产 本 身 存在 的 ,如 果 没 有 被 相应 的 威胁 利用 ,单纯 的 
脆弱 性 本 身 不 会 对 资产 造成 损害 。 而 且 如 果 系 统 足 够 强健 ,严重 的 威胁 也 不 会 导致 安全 事 


件 发 生 并 造成 损失 。 即 威胁 总 是 要 利用 资产 的 脆弱 性 才 可 能 造成 危害 。 资 产 的 脆弱 性 具有 
隐蔽 性 ,有 些 脆 弱 性 只 有 在 一 定 条 件 和 环境 下 才能 显现 ,这 是 脆弱 性 识别 中 最 为 困难 的 部 
分 。 不 正确 的 、 起 不 到 应 有 作用 的 或 没有 正确 实施 的 安全 措施 本 身 就 可 能 是 一 个 脆弱 性 。 
脆弱 性 识别 是 风险 评估 中 最 重要 的 一 个 环节 。 脆 弱 性 识别 可 以 以 资产 为 核心 ,针对 每 一 项 
需要 保护 的 资产 ,识别 可 能 被 威胁 利用 的 弱点 ,并 对 脆弱 性 的 严重 程度 进行 评估 ; 也 可 以 从 
物理 \ 网 络 、 系 统 、 应 用 等 层次 进行 识别 ,然后 与 资产 .威胁 对 应 起 来 。 脆 弱 性 识别 的 依据 可 
以 是 国际 或 国家 安全 标准 ,也 可 以 是 行业 规范 、 应 用 流程 的 安全 要 求 。 对 应 用 在 不 同 环境 中 
的 相同 的 弱点 ,其 脆弱 性 严重 程度 是 不 同 的 ,评估 者 应 从 组 织 安全 策略 的 角度 考虑 、 判 断 资 
产 的 脆弱 性 及 其 严重 程度 。 信 息 系统 所 采用 的 协议 .应 用 流程 的 完备 与 否 .与 其 他 网 络 的 互 
联 等 也 应 考虑 在 内 。 脆 弱 性 识别 时 的 数据 应 来 自 于 资产 的 所 有 者 、 使 用 者 ,以 及 相关 业务 领 
域 和 软 硬 件 方 面 的 专业 人 员 等 。 脆 弱 性 识别 所 采用 的 方法 主要 有 问卷 调查 、 工 具 检 测 、 人 工 
核查 、 文 档 查阅 和 渗透 性 测试 等 。 脆 弱 性 识别 主要 从 技术 和 管理 两 个 方面 进行 ,技术 脆弱 性 
涉及 物理 层 、 网 络 层 、 系 统 层 和 应 用 层 等 各 个 层面 的 安全 问题 。 管 理 脆 弱 性 又 可 分 为 技术 管理 
脆弱 性 和 组 织 管理 脆弱 性 两 方面 ,前 者 与 具体 技术 活动 相关 ,后 者 与 管理 环境 相关 。 对 不 同 的 
识别 对 象 ,其 脆弱 性 识别 的 具体 要 求 应 参照 相应 的 技术 或 管理 标准 实施 。 例 如 ,对 物理 环境 的 
脆弱 性 识别 应 按 GB/T 9361 中 的 技术 指标 实施 ; 对 操作 系统 数据 库 应 按 GB 17859 一 1999 中 
的 技术 指标 实施 ; 对 网 络 、 系 统 、 应 用 等 信息 技术 安全 性 的 脆弱 性 识别 应 按 GB/T 18336- 
2001 中 的 技术 指标 实施 ; 对 管理 脆弱 性 识别 方面 应 按 GB/T 19716 一 2005 的 要 求 对 安全 管 
理 制 度 及 其 执行 情况 进行 检查 ,发 现 管理 脆弱 性 和 不 足 。 表 6-9 提供 了 一 种 脆弱 性 识别 内 
容 的 参考 。 
表 6-9 脆弱 性 识别 内 容 表 


类 型 识别 对 象 识别 内 容 
从 机 房 场地 、 机 房 防火 、 机 房 供 配 电 、 机 房 防 静 电 、 机 房 接 地 与 防 雷 、 电 磁 防 


人 护 、 通 信 线 路 的 保护 ,机房 区 域 防护 ,机 房 设备 管理 等 方面 进行 识别 
网 络 结构 从 网 络 结构 设计 、 边 界 保护 、 外 部 访问 控制 策略 、 内 部 访问 控制 策略 、 网 络 设 
备 安全 配置 等 方面 进行 识别 
技术 脆弱 性 系统 软件 从 补丁 安装 ,物理 保护 .用户 账 号 .口令 策略 ,资源 共享 .事件 审计 、 访 问 控 


制 . 新 系统 配置 .注册 表 加 固 、 网 络 安全 ,系统 管理 等 方面 进行 识别 
应 用 中 间 件 | 从 协议 安全 、 交 易 完 整 性 \ 数 据 完整 性 等 方面 进行 识别 

应 用 系统 从 审计 机 制 . 审 计 存 储 、 访 问 控制 策略 .数据 完整 性 通信、 鉴别 机 制 、 密 码 保 
护 等 方面 进行 识别 

技术 管理 从 物理 和 环境 安全 ,通信 和 与 操作 管理 ,访问 控制 .系统 开发 与 维护 `, 业 务 连 续 
管理 脆弱 性 性 等 方面 进行 识别 

组 织 管理 ”| 从 安全 策略 ,组织 安 全 ,资产 分 类 与 控制 ,人 员 安 全 ,符合 性 等 方面 进行 识别 


(2) 脆弱 性 赋值 。 可 以 根据 脆弱 性 对 资产 的 暴露 程度 、 技 术 实现 的 难 易 程 度 、 流 行程 度 
等 ,采用 等 级 方式 对 已 识别 的 脆弱 性 的 严重 程度 进行 赋值 。 由 于 很 多 脆弱 性 反映 的 是 同一 
方面 的 问题 ,或 可 能 造成 相似 的 后 果 , 赋 值 时 应 综合 考虑 这 些 脆 弱 性 ,以 确定 这 一 方面 脆弱 
性 的 严重 程度 。 对 某 个 资产 ,其 技术 脆弱 性 的 严重 程度 还 受到 组 织 管理 脆弱 性 的 影响 。 因 
此 ,资产 的 脆弱 性 赋值 还 应 参考 技术 管理 和 组 织 管理 脆弱 性 的 严重 程度 。 脆 弱 性 严重 程度 
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可 以 进行 等 级 化 处 理 , 不 同 的 等 级 分 别 代表 资产 脆弱 性 严重 程度 的 高 低 。 等 级 数值 越 大 , 脆 
弱 性 严重 程度 越 高 。 表 6-10 提供 了 脆弱 性 严重 程度 的 一 种 赋值 方法 。 


表 6-10 脆弱 性 严重 程度 赋值 表 


等 级 标 识 定义 
§ 很 高 如 果 被 威胁 利用 ,将 对 资产 造成 完全 损害 
4 高 如 果 被 威胁 利用 ,将 对 资产 造成 重大 损害 
a 中 等 如 果 被 威胁 利用 ,将 对 资产 造成 一 般 损害 
2 低 如 果 被 威胁 利用 ,将 对 资产 造成 较 小 损害 
1 很 低 如 果 被 威胁 利用 ,将 对 资产 造成 的 损害 可 以 忽略 


5) 已 有 安全 措施 确认 

在 识别 脆弱 性 的 同时 ,评估 人 员 应 对 已 采取 的 安全 措施 的 有 效 性 进行 确认 。 安 全 措施 
的 确认 应 评估 其 有 效 性 , 即 是 否 真正 地 降低 了 系统 的 脆弱 性 ,抵御 了 威胁 。 对 有 效 的 安全 措 
施 继续 保持 ,以 避免 不 必要 的 工作 和 费用 ,防止 安全 措施 的 重复 实施 。 对 确认 为 不 适当 的 安 
全 措施 应 核实 是 否 应 被 取消 或 对 其 进行 修正 ,或 用 更 合适 的 安全 措施 替代 。 安 全 措施 可 以 
分 为 预防 性 安全 措施 和 保护 性 安全 措施 两 种 。 预 防 性 安全 措施 可 以 降低 威胁 利用 脆弱 性 导 
致 安全 事件 发 生 的 可 能 性 ,如 入 侵 检测 系统 ; 保护 性 安全 措施 可 以 减少 因 安全 事件 发 生 后 
对 组 织 或 系统 造成 的 影响 。 已 有 安全 措施 确认 与 脆弱 性 识别 存在 一 定 的 联系 。 一 般 来 说 ， 
安全 措施 的 使 用 将 减少 系统 技术 或 管理 上 的 脆弱 性 ,但 安全 措施 确认 并 不 需要 和 脆弱 性 识 
别 过 程 那样 具体 到 每 个 资产 .组 件 的 脆弱 性 ,而 是 一 类 具体 措施 的 集合 ,为 风险 处 理 计 划 的 
制定 提供 依据 和 参考 。 

6) 风险 分 析 

(1) 风险 计算 原理 。 在 完成 了 资产 识别 .威胁 识别 、 脆 弱 性 识别 ,以 及 已 有 安全 措施 确 
认 后 ,将 采用 适当 的 方法 与 工具 确定 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 。 综 合 
全 事件 所 作用 的 资产 价值 及 脆弱 性 的 严重 程度 ,判断 安全 事件 造成 的 损失 对 组 织 的 影响 , 即 
安全 风险 。 本 标准 给 出 了 风险 计算 原理 ,以 下 面 的 范式 形式 化 加 以 说 明 : 
风险 值 =R(A,T,V)=R(L(T,V),F(Ia,Va ))。 

其 中 ,R 表示 安全 风险 计算 函数 ; A 表示 资产 ; TT 表示 威胁 ; V 表示 脆弱 性 ;Ia 表示 安 
全 事件 所 作用 的 资产 价值 ; Va 表示 脆弱 性 严重 程度 ; L 表示 威胁 利用 资产 的 脆弱 性 导致 安 
全 事件 的 可 能 性 ; FF 表示 安全 事件 发 生 后 造成 的 损失 。 有 以 下 三 个 关键 计算 环节 : 

@ 计算 安全 事件 发 生 的 可 能 性 。 

根据 威胁 出 现 频率 及 脆弱 性 的 状况 ,计算 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 
性 , 即 : 

安全 事件 的 可 能 性 =L( 威 胁 出 现 频率 ,脆弱 性 )==L(T,V )。 

在 具体 评估 中 ,应 综合 攻击 者 技术 能 力 (专业 技术 程度 、 攻 击 设备 等 )、 脆 弱 性 被 利用 的 
难 易 程 度 (可 访问 时 间 设计 和 操作 知识 公开 程度 等 ) .资产 吸引 力 等 因素 来 判断 安全 事件 发 
生 的 可 能 性 。 

@ 计算 安全 事件 发 生 后 造成 的 损失 。 

根据 资产 价值 及 脆弱 性 严重 程度 ,计算 安全 事件 一 旦 发 生 后 造成 的 损失 , 即 : 


第 6 章 “信息 安全 管理 


安全 事件 造成 的 损失 三 下 ( 资 产 价值 ,脆弱 性 严重 程度 ) 一 FCIa,Va )。 

部 分 安全 事件 的 发 生 造 成 的 损失 不 仅仅 是 针对 该 资产 本 身 ,还 可 能 影响 业务 的 连续 性 ; 
不 同安 全 事件 的 发 生 对 组 织 的 影响 也 是 不 一 样 的 。 在 计算 某 个 安全 事件 的 损失 时 ,应 将 对 
组 织 的 影响 也 考虑 在 内 。 

部 分 安全 事件 造成 的 损失 的 判断 还 应 参照 安全 事件 发 生 可 能 性 的 结果 ,对 发 生 可 能 性 
极 小 的 安全 事件 ,( 如 处 于 非 地 震 带 的 地 震 威胁 \ 在 采取 完备 供电 措施 状况 下 的 电力 故障 威 
胁 等 ), 可 以 不 计算 其 损失 。 

@ 计算 风险 值 。 

根据 计算 出 的 安全 事件 的 可 能 性 以 及 安全 事件 造成 的 损失 计算 风险 值 , 即 : 

风险 值 ==R( 安 全 事件 的 可 能 性 ,安全 事件 造成 的 损失 ) 二 RCLCT,V),F(Ia,Va ))。 

评估 者 可 根据 自身 情况 选择 相应 的 风险 计算 方法 计算 风险 值 ,如 矩阵 法 或 相 乘 法 。 和 拢 
阵 法 通过 构造 一 个 二 维 矩 阵 ,形成 安全 事件 的 可 能 性 与 安全 事件 造成 的 损失 之 间 的 二 维 关 
系 ; 相 乘法 通过 构造 经 验 函 数 ,将 安全 事件 的 可 能 性 与 安全 事件 造成 的 损失 进行 运算 得 到 
风险 值 。 

(2) 风险 结果 判定 。 为 实现 对 风险 的 控制 与 管理 ,可 以 对 风险 评估 的 结果 进行 等 级 化 
处 理 。 可 将 风险 划分 为 5 级 ,等 级 越 高 ,风险 越 高 。 评 估 者 应 根据 所 采用 的 风险 计算 方法 计 
算 每 种 资产 面临 的 风险 值 ,根据 风险 值 的 分 布 状况 为 每 个 等 级 设 定 风 险 值 范围 ,并 对 所 有 风 
险 计 算 结 果 进 行 等 级 处 理 。 每 个 等 级 代表 了 相应 风险 的 严重 程度 。 表 6-11 提供 了 一 种 风 
险 等 级 划分 方法 。 


表 6-11 风险 等 级 划分 表 


等 级 标识 描 述 

3 很 高 一 旦 发 生 将 产生 非常 严重 的 经 济 或 社会 影响 ,如 组 织 信 誉 严重 破坏 、 严 重 影响 组 
织 的 正常 经 营 ,经 济 损失 重大 、 社 会 影响 恶劣 

4 高 一 旦 发 生 将 产生 较 大 的 经 济 或 社会 影响 ,在 一 定 范围 内 给 组 织 的 经 营 和 组 织 信 
誉 造成 损害 

3 中 等 一 旦 发 生 会 造成 一 定 的 经 济 、 社 会 或 生产 经 营 影响 ,但 影响 面 和 影响 程度 不 大 

2 低 一 旦 发 生 造 成 的 影响 程度 较 低 ,一般 仅 限于 组 织 内 部 ,通过 一 定 手段 很 快 能 解决 

很 低 一 旦 发 生 造 成 的 影响 几乎 不 存在 ,通过 简单 的 措施 就 能 弥补 


风险 等 级 处 理 的 目的 是 为 风险 管理 过 程 中 对 不 同 风险 的 直观 比较 ,以 确定 组 织 安全 策 
略 。 组 织 应 当 综 合 考虑 风险 控制 成 本 与 风险 造成 的 影响 ,提出 一 个 可 接受 的 风险 范围 。 对 
某 些 资产 的 风险 ,如果 风险 计算 值 在 可 接受 的 范围 内 , 则 该 风险 是 可 接受 的 ,应 保持 已 有 的 
安全 措施 ; 如 果 风 险 评估 值 在 可 接受 的 范围 外 , 即 风险 计算 值 高 于 可 接受 范围 的 上 限 值 , 则 
该 风险 是 不 可 接受 的 ,需要 采取 安全 措施 以 降低 ,控制 风险 。 另 一 种 确定 不 可 接受 的 风险 的 
办 法 是 根据 等 级 化 处 理 的 结果 ,不 设 定 可 接受 风险 值 的 基准 ,对 达到 相应 等 级 的 风险 都 进行 
处 理 。 

(3) 风险 处 理 计 划 。 对 不 可 接受 的 风险 应 根据 导致 该 风险 的 脆弱 性 制定 风险 处 理 计 
划 。 风 险 处 理 计 划 中 应 明确 采取 的 弥补 脆弱 性 的 安全 措施 、 预 期 效果 、 实 施 条 件 、 进 度 安 排 、 
责任 部 门 等 。 安 全 措施 的 选择 应 从 管理 与 技术 两 个 方面 考虑 。 安 全 措施 的 选择 与 实施 应 参 
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照 信息 安全 的 相关 标准 进行 。 

(4) 残余 风险 评估 。 在 对 于 不 可 接受 的 风险 选择 适当 安全 措施 后 ,为 确保 安全 措施 的 
有 效 性 ,可 进行 再 评估 ,以 判断 实施 安全 措施 后 的 残余 风险 是 否 已 经 降低 到 可 接受 的 水 平 。 
残余 风险 的 评估 可 以 依据 本 标准 提出 的 风险 评估 流程 实施 ,也 可 做 适当 裁减 。 一 般 来 说 , 安 
全 措施 的 实施 是 以 减少 脆弱 性 或 降低 安全 事件 发 生 可 能 性 为 目标 的 ,因此 ,残余 风险 的 评估 
可 以 从 脆弱 性 评估 开始 ,在 对 照 安全 措施 实施 前 后 的 脆弱 性 状况 后 ,再 次 计算 风险 值 的 大 
小 。 某 些 风险 可 能 在 选择 了 适当 的 安全 措施 后 ,残余 风险 的 结果 仍 处 于 不 可 接受 的 风险 范 
围 内 ,应 考虑 是 否 接受 此 风险 或 进一步 增加 相应 的 安全 措施 。 

7) 风险 评估 文档 记录 

(1) 风险 评估 文档 记录 的 要 求 。 记 录 风 险 评估 过 程 的 相关 文档 ,应 符合 以 下 要 求 (但 不 
仅 限 于 此 ) : 确保 文档 发 布 前 是 得 到 批准 的 ; 确保 文档 的 更 改 和 现行 修订 状态 是 可 识别 的 ; 
确保 文档 的 分 发 得 到 适当 的 控制 ,并 确保 在 使 用 时 可 获得 有 关 版 本 的 适用 文档 ; 防止 作废 
文档 的 非 预期 使 用 , 若 因 任何 目的 需 保 留 作废 文档 时 ,应 对 这 些 文档 进行 适当 的 标识 。 对 于 
风险 评估 过 程 中 形成 的 相关 文档 ,还 应 规定 其 标识 、 储 存 、 保 护 、 检 索 、 保 存 期 限 以 及 处 置 所 
需 的 控制 。 相 关 文 档 是 否 需要 以 及 详 略 程度 由 组 织 的 管理 者 来 决定 。 

(2) 风险 评估 文档 。 风 险 评估 文档 是 指 在 整个 风险 评估 过 程 中 产生 的 评估 过 程 文档 和 
评估 结果 文档 ,包括 (但 不 仅 限于 此 ): 风险 评估 方案 ,阐述 风险 评估 的 目标 .范围 人员、 评 
佑 方法 .评估 结果 的 形式 和 实施 进度 等 ; 风险 评估 程序 ,明确 评估 的 目的 ,职责 、 过 程 、 相 关 
的 文档 要 求 , 以 及 实施 本 次 评估 所 需要 的 各 种 资产 威胁 、 脆 弱 性 识别 和 判断 依据 ; 资产 识 
别 清单 ,根据 组 织 在 风险 评估 程序 文档 中 所 确定 的 资产 分 类 方法 进行 资产 识别 ,形成 资产 识 
别 清单 ,明确 资产 的 责任 人 /部 门 ; 重要 资产 清单 ,根据 资产 识别 和 赋值 的 结果 ,形成 重要 资 
产 列表 ,包括 重要 资产 名 称 、 描 述 、 类 型 .重要 程度 ,责任 人/ 部 门 等 ; 威胁 列表 ,根据 威胁 识 
别 和 赋值 的 结果 形成 威胁 列表 ,包括 威胁 名 称 、 种 类 、 来 源 、 动 机 及 出 现 的 频率 等 ; 脆弱 性 列 
表 , 根 据 脆弱 性 识别 和 赋值 的 结果 形成 脆弱 性 列表 ,包括 具体 脆弱 性 的 名 称 、 描 述 、 类 型 及 严 
重 程 度 等 ; 已 有 安全 措施 确认 表 : 根据 对 已 采取 的 安全 措施 确认 的 结果 ,形成 已 有 安全 措 
施 确认 表 , 包 括 已 有 安全 措施 名 称 、 类 型 .功能 描述 及 实施 效果 等 ; 风险 评估 报告 ,对 整个 风 
险 评估 过 程 和 结果 进行 总 结 , 详 细 说 明 被 评估 对 象 . 风 险 评估 方法 、 资 产 、 威 胁 ,脆弱 性 的 识 
别 结果 、 风 险 分 析 、 风 险 统 计 和 结论 等 内 容 ; 风险 处 理 计 划 , 对 评估 结果 中 不 可 接受 的 风险 
制定 风险 处 理 计 划 ,选择 适当 的 控制 目标 及 安全 措施 ,明确 责任 .进度 .资源 ,并 通过 对 残余 
风险 的 评价 以 确定 所 选择 安全 措施 的 有 效 性 ; 风险 评估 记录 ,根据 风险 评估 程序 ,要 求 风险 
评估 过 程 中 的 各 种 现场 记录 可 复 现 评 估 过 程 , 并 作为 产生 歧义 后 解决 问题 的 依据 。 


4. 信息 系统 生命 周期 各 阶段 的 风险 评估 


1) 信息 系统 生命 周期 概述 

风险 评估 应 贯穿 于 信息 系统 生命 周期 的 各 阶段 中 。 信 息 系统 生命 周期 各 阶段 中 涉及 的 
风险 评估 的 原则 和 方法 是 一 致 的 ,但 由 于 各 阶段 实施 的 内 容 、 对 象 , 安 全 需求 不 同 , 使 得 风险 
评估 的 对 象 .目的 、 要 求 等 各 方面 也 有 所 不 同 。 具 体 而 言 , 在 规划 设计 阶段 ,通过 风险 评估 以 
确定 系统 的 安全 目标 ; 在 建设 验收 阶段 ,通过 风险 评估 以 确定 系统 的 安全 目标 达成 与 否 ; 
在 运行 维护 阶段 ,要 不 断 地 实施 风险 评估 以 识别 系统 面临 的 不 断 变化 的 风险 和 脆弱 性 ,从 而 
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确定 安全 措施 的 有 效 性 ,确保 安全 目标 得 以 实现 。 因 此 ,每 个 阶段 风险 评估 的 具体 实施 应 根 
据 该 阶段 的 特点 有 所 侧重 地 进行 。 有 条 件 时 ,应 采用 风险 评估 工具 开展 风险 评估 活动 。 

2) 规划 阶段 的 风险 评估 

规划 阶段 风险 评估 的 目的 是 识别 系统 的 业务 战略 ,以 支撑 系统 安全 需求 及 安全 战略 等 。 
规划 阶段 的 评估 应 能 够 描述 信息 系统 建成 后 对 现 有 业务 模式 的 作用 ,包括 技术 、 管 理 等 方 
面 ,并 根据 其 作用 确定 系统 建设 应 达到 的 安全 目标 。 

本 阶段 评估 中 ,资产 .脆弱 性 不 需要 识别 ; 威胁 应 根据 未 来 系统 的 应 用 对 象 .应 用 环境 、 
业务 状况 .操作 要 求 等 方面 进行 分 析 。 评 估 着 重 在 以 下 几 方 面 : 是 否 依据 相关 规则 ,建立 了 
与 业务 战略 相 一 致 的 信息 系统 安全 规划 ,并 得 到 最 高 管理 者 的 认可 ; 系统 规划 中 是 否 明确 
信息 系统 开发 的 组 织 、 业 务 变 更 的 管理 .开发 优先 级 ; 系统 规划 中 是 否 考 虑 信息 系统 的 威 
胁 \ 环 境 , 并 制定 总 体 的 安全 方针 ; 系统 规划 中 是 否 描述 信息 系统 预期 使 用 的 信息 ,包括 预 
期 的 应 用 、 信 息 资产 的 重要 性 ` 潜 在 的 价值 .可 能 的 使 用 限制 ,对 业务 的 支持 程度 等 ; 系统 规 
划 中 是 否 描述 所 有 与 信息 系统 安全 相关 的 运行 环境 ,包括 物理 和 人 员 的 安全 配置 ,以 及 明确 
相关 的 法 规 .组 织 安 全 策略 .专门 技术 和 知识 等 。 

规划 阶段 的 评估 结果 应 体现 在 信息 系统 整体 规划 或 项 目 建议 书 中 。 

3) 设计 阶段 的 风险 评估 

设计 阶段 的 风险 评估 需要 根据 规划 阶段 所 明确 的 系统 运行 环境 ,资产 重要 性 提出 安全 
功能 需求 。 设 计 阶 段 的 风险 评估 结果 应 对 设计 方案 中 所 提供 的 安全 功能 符合 性 进行 判断 ， 
作为 采购 过 程 风险 控制 的 依据 。 

本 阶段 评估 中 ,应 详细 评估 设计 方案 中 对 系统 面临 威胁 的 描述 ,将 使 用 的 具体 设备 、 软 
件 等 资产 及 其 安全 功能 需求 列表 。 对 设计 方案 的 评估 着 重 在 以 下 几 方面 : 设计 方案 是 否 符 
合 系统 建设 规划 ,并 得 到 最 高 管理 者 的 认可 ; 设计 方案 是 否 对 系统 建设 后 面临 的 威胁 进行 
了 分 析 , 重 点 分 析 来 自 物理 环境 和 自然 的 威胁 ,以 及 由 于 内 、 外 部 入侵 等 造成 的 威胁 ; 设计 
方案 中 的 安全 需求 是 否 符合 规划 阶段 的 安全 目标 ,并 基于 威胁 的 分 析 ,制定 信息 系统 的 总 体 
安全 策略 ; 设计 方案 是 否 采取 了 一 定 的 手段 来 应 对 系统 可 能 的 故障 ; 设计 方案 是 否 对 设计 
原型 中 的 技术 实现 以 及 人 员 ,组 织 管理 等 方面 的 脆弱 性 进行 评估 ,包括 设计 过 程 中 的 管理 脆 
弱 性 和 技术 平台 固有 的 脆弱 性 ; 设计 方案 是 否 考虑 随 着 其 他 系统 接 人 而 可 能 产生 的 风险 ; 
系统 性 能 是 否 满足 用 户 需 求 ,并 考虑 到 峰值 的 影响 ,是否 在 技术 上 考虑 了 满足 系统 性 能 要 求 
的 方法 ; 应 用 系统 ( 含 数据 库 ) 是 否 根据 业务 需要 进行 了 安全 设计 ; 设计 方案 是 否 根据 开发 
的 规模 、 时 间 及 系统 的 特点 选择 开发 方法 ,并 根据 设计 开发 计划 及 用 户 需 求 ,对 系统 涉及 的 
软件 、 硬 件 与 网 络 进行 分 析 和 选 型 ; 设计 活动 中 所 采用 的 安全 控制 措施 、 安 全 技术 保障 手段 
对 风险 的 影响 。 在 安全 需求 变更 和 设计 变更 后 ,也 需要 重复 这 项 评估 。 设 计 阶 段 的 评估 可 
以 以 安全 建设 方案 评审 的 方式 进行 ,判定 方案 所 提供 的 安全 功能 与 信息 技术 安全 技术 标准 
的 符合 性 。 评 估 结 果 应 体现 在 信息 系统 需求 分 析 报 告 或 建设 实施 方案 中 。 

4) 实施 阶段 的 风险 评估 

实施 阶段 风险 评估 的 目的 是 根据 系统 安全 需求 和 运行 环境 对 系统 开发 .实施 过 程 进行 
风险 识别 ,并 对 系统 建成 后 的 安全 功能 进行 验证 。 根 据 设计 阶段 分 析 的 威胁 和 制定 的 安全 
措施 ,在 实施 及 验收 时 进行 质量 控制 。 

基于 设计 阶段 的 资产 列表 、 安 全 措施 ,实施 阶段 应 对 规划 阶段 的 安全 威胁 进行 进一步 细 
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分 ,同时 评估 安全 措施 的 实现 程度 ,从 而 确定 安全 措施 能 否 抵御 现 有 威胁 ,脆弱 性 的 影响 。 
实施 阶段 风险 评估 主要 对 系统 的 开发 与 技术 /产品 获取 、 系 统 交 付 实施 两 个 过 程 进行 评估 。 
开发 与 技术 /产品 获取 过 程 的 评估 要 点 包括 : 

(1) 法 律 政策、 适用 标准 和 指导 方针 。 直 接 或 间接 影响 信息 系统 安全 需求 的 特定 法 
律 ; 影响 信息 系统 安全 需求 .产品 选择 的 政府 政策 、 国 际 或 国家 标准 。 

(2) 信息 系统 的 功能 需要 。 安 全 需求 是 否 有 效 地 支持 系统 的 功能 。 

(3) 成 本 效益 风险 。 是 否 根 据 信息 系统 的 资产 、 威 胁 和 脆弱 性 的 分 析 结 果 ,确定 在 符合 
相关 法 律 ,政策 ,标准 和 功能 需要 的 前 提 下 选择 最 合适 的 安全 措施 。 

(4) 评估 保证 级 别 。 是 否 明确 系统 建设 后 应 进行 怎样 的 测试 和 检查 ,从 而 确定 是 否 满 
足 项 目 建设 .实施 规范 的 要 求 。 

系统 交付 实施 过 程 的 评估 要 点 包括 : 

(1) 根据 实际 建设 的 系统 ,详细 分 析 资 产 、 面 临 的 威胁 和 脆弱 性 。 

(2) 根据 系统 建设 目标 和 安全 需求 ,对 系统 的 安全 功能 进行 验收 测试 ; 评价 安全 措施 
能 否 抵 御 安 全 威胁 。 

(3) 评估 是 否 建 立 了 与 整体 安全 策略 一 致 的 组 织 管理 制度 。 

(4) 对 系统 实现 的 风险 控制 效果 与 预期 设计 的 符合 性 进行 判断 ,如 存在 较 大 的 不 符合 ， 
应 重新 进行 信息 系统 安全 策略 的 设计 与 调整 。 

本 阶段 风险 评估 可 以 采取 对 照 实施 方案 和 标准 要 求 的 方式 ,对 实际 建设 结果 进行 测试 、 
分 析 。 

5) 运行 维护 阶段 的 风险 评估 

运行 维护 阶段 风险 评估 的 目的 是 了 解 和 控制 运行 过 程 中 的 安全 风险 ,是 一 种 较为 全 面 
的 风险 评估 。 评 估 内 容 包括 对 真实 运行 的 信息 系统 资产、 威胁 和 脆弱 性 等 各 方面 。 

(1) 资产 评估 。 在 真实 环境 下 较为 细致 的 评估 。 包 括 实施 阶段 采购 的 软 硬 件 资产 、 系 
统 运 行 过程 中 生成 的 信息 资产 .相关 的 人 员 与 服务 等 。 本 阶段 资产 识别 是 前 期 资产 识别 的 
补充 与 增加 。 

(2) 威胁 评估 。 应 全 面 地 分 析 威 胁 的 可 能 性 和 影响 程度 。 对 非 故意 威胁 导致 安全 事件 
的 评估 可 以 参照 安全 事件 的 发 生 频 率 ; 对 故意 威胁 导致 安全 事件 的 评估 主要 就 威胁 的 各 个 
影响 因素 做 出 专业 判断 。 

(3) 脆弱 性 评估 。 是 全 面 的 脆弱 性 评估 。 包 括 运行 环境 中 物理 、 网 络 、 系 统 、 应 用 、 安 全 
保障 设备 .管理 等 各 方面 的 脆弱 性 。 技 术 脆 弱 性 评估 可 以 采取 核查 ,扫描 、 案 例 验证 ,渗透 性 
测试 的 方式 实施 ; 安全 保障 设备 的 脆弱 性 评估 ,应 考虑 安全 功能 的 实现 情况 和 安全 保障 设 
备 本 身 的 脆弱 性 ; 管理 脆弱 性 评估 可 以 采取 文档 、 记 录 核 查 等 方式 进行 验证 。 

(4) 风险 计算 。 根 据 本 标准 的 相关 方法 ,对 重要 资产 的 风险 进行 定性 或 定量 的 风险 分 
析 , 描 述 不 同 资产 的 风险 高 低 状况 。 

运行 维护 阶段 的 风险 评估 应 定期 执行 ; 当 组 织 的 业务 流程 、 系 统 状 况 发 生 重大 变更 时 ， 
也 应 进行 风险 评估 。 重 大 变更 包括 以 下 情况 (但 不 限于 ): 增加 新 的 应 用 或 应 用 发 生 较 大 变 
更 ; 网 络 结构 和 连接 状况 发 生 较 大 变更 ; 技术 平台 大 规模 的 更 新 ; 系统 扩容 或 改造 ; 发 生 
重大 安全 事件 后 ,或 基于 某 些 运行 记录 怀疑 将 发 生 重大 安全 事件 ; 组 织 结构 发 生 重大 变动 
对 系统 产生 了 影响 。 


6) 废弃 阶段 的 风险 评估 

当 信 息 系 统 不 能 满足 现 有 要 求 时 ,信息 系统 进入 废弃 阶段 。 根 据 废弃 的 程度 ,又 分 为 部 
分 废弃 和 全 部 废弃 两 种 。 上 废弃 阶段 风险 评估 着 重 在 以 下 几 方 面 : 

(1) 确保 硬件 和 软件 等 资产 及 残留 信息 得 到 了 适当 的 处 置 ,并 确保 系统 组 件 被 合理 地 
丢弃 或 更 换 。 

(2) 如 果 被 废弃 的 系统 是 某 个 系统 的 一 部 分 ,或 与 其 他 系统 存在 物理 或 逻辑 上 的 连接 ， 
还 应 考虑 系统 废弃 后 与 其 他 系统 的 连接 是 否 被 关闭 。 

(3) 如 果 在 系统 变更 中 废弃 , 除 对 废弃 部 分 外 ,还 应 对 变更 的 部 分 进行 评估 ,以 确定 是 
否 会 增加 风险 或 引入 新 的 风险 。 

(4) 是 否 建立 了 流程 ,确保 更 新 过 程 在 一 个 安全 、 系 统 化 的 状态 下 完成 。 

本 阶段 应 重点 对 废弃 资产 对 组 织 的 影响 进行 分 析 , 并 根据 不 同 的 影响 制定 不 同 的 处 理 
方式 。 对 由 于 系统 废弃 可 能 带 来 的 新 的 威胁 进行 分 析 , 并 改进 新 系统 或 管理 模式 。 对 废弃 
资产 的 处 理 过 程 应 在 有 效 的 监督 之 下 实施 ,同时 对 废弃 的 执行 人 员 进 行 安全 教育 。 

信息 系统 的 维护 技术 人 员 和 管理 人 员 均 应 该 参与 此 阶段 的 评估 。 


5. 风险 评估 的 工作 形式 


信息 安全 风险 评估 分 为 自 评估 和 检查 评估 两 种 形式 。 信 息 安 全 风险 评估 应 以 自 评估 为 
主 , 自 评估 和 检查 评估 相互 结合 、 互 为 补充 。 

(1) 自 评估 

自 评估 是 指 信息 系统 拥有 、 运 营 或 使 用 单位 发 起 的 对 本 单位 信息 系统 进行 的 风险 评估 。 
自 评估 应 在 本 标准 的 指导 下 ,结合 系统 特定 的 安全 要 求 进行 实施 。 周 期 性 进行 的 自 评估 可 
以 在 评估 流程 上 适当 简化 ,重点 针对 自 上 次 评估 后 系统 发 生变 化 后 引入 的 新 威胁 ,以 及 系统 
脆弱 性 的 完整 识别 ,以 便于 两 次 评估 结果 的 对 比 。 但 系统 发 生 上 述 中 所 列 的 重大 变更 时 ,应 
依据 本 标准 进行 完整 的 评估 。 

自 评 估 可 由 发 起 方 实施 或 委托 风险 评估 服务 技术 支持 方 实 施 。 由 发 起 方 实施 的 评估 可 
以 降低 实施 的 费用 、 提 高 信息 系统 相关 人 员 的 安全 意识 ,但 可 能 由 于 缺乏 风险 评估 的 专业 技 
能 ,其 结果 不 够 深入 准确 。 

同时 ,受到 组 织 内 部 各 种 因素 的 影响 ,其 评估 结果 的 客观 性 易 受 影响 。 委 托 风 险 评估 服 
务 技术 支持 方 实施 的 评估 ,过 程 比 较 规 范 .评估 结果 的 客观 性 比较 好 ,可 信 程 度 较 高 。 但 由 
于 受到 行业 知识 技能 及 业务 了 解 的 限制 ,对 被 评估 系统 的 了 解 ,尤其 是 在 业务 方面 的 特殊 要 
求 存在 一 定 的 局 限 。 由 于 引入 第 三 方 本 身 就 是 一 个 风险 因素 ,因此 对 其 背景 与 资质 .评估 过 
程 与 结果 的 保密 要 求 等 方面 应 进行 控制 。 

此 外 ,为 保证 风险 评估 的 实施 ,与 系统 相连 的 相关 方 也 应 配合 ,以 防止 给 其 他 方 的 使 用 
带 来 困难 或 引入 新 的 风险 。 

(2) 检查 评估 

检查 评估 是 指 信息 系统 上 级 管理 部 门 组 织 的 或 国家 有 关 职 能 部 门 依法 开展 的 风险 评估 。 

检查 评估 可 依据 本 标准 的 要 求 ,实施 完整 的 风险 评估 过 程 。 

检查 评估 也 可 在 自 评估 实施 的 基础 上 ,对 关键 环节 或 重点 内 容 实施 抽样 评估 ,包括 以 下 
内 容 ( 但 不 仅 限于 ): 自 评 估 队 伍 及 技术 人 员 审 查 ; 自 评估 方法 的 检查 ; 自 评 估 过 程控 制 与 
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文档 记录 检查 ; 自 评估 资产 列表 审查 ; 自 评估 威胁 列表 审查 ; 自 评估 脆弱 性 列表 审查 ; 现 
有 安全 措施 有 效 性 检查 ; 自 评估 结果 审查 与 采取 相应 措施 的 跟踪 检查 ; 自 评 估 技 术 技能 限 
制 未 完成 项 目的 检查 评估 ; 上 级 关注 或 要 求 的 关键 环节 和 重点 内 容 的 检查 评估 ; 软 硬 件 维 
护 制度 及 实施 管理 的 检查 ; 突 发 事件 应 对 措施 的 检查 。 

检查 评估 也 可 委托 风险 评估 服务 技术 支持 方 实施 ,但 评估 结果 仅 对 检查 评估 的 发 起 单 
位 负责 。 由 于 检查 评估 代表 了 主管 机 关 , 涉 及 评估 对 象 也 往往 较 多 ,因此 要 对 实施 检查 评估 
机 构 的 资质 进行 严格 管理 。 


6.4 信息 系统 安全 审计 


本 节 将 介绍 信息 系统 安全 审计 的 基本 概念 和 信息 系统 安全 审计 程序 。 


6.4.1 信息 系统 安全 审计 概述 


下 面 是 杨 正 朋 的 硕士 论文 “信息 系统 的 安全 审计 ”(2008) 部 分 内 容 的 选编 。 他 对 信息 系 
统 安全 审计 的 定义 ,功能 和 分 类 进行 研究 。 


1. 安全 审计 的 概念 


安全 审计 是 指 根据 一 定 的 安全 策略 ,通过 记录 和 分 析 历史 操作 事件 及 数据 ,发 现 能 够 改 
进 系统 性 能 和 系统 安全 的 地 方 。 确 切 地 说 ,安全 审计 就 是 对 系统 安全 的 审核 ,稽查 与 计算 ， 
即 在 记录 一 切 (或 部 分 ) 与 系统 安全 有 关 活 动 的 基础 上 ,对 其 进行 分 析 处 理 、. 评 价 审查 ,发 现 
系统 中 的 安全 隐患 ,或 追查 出 造成 安全 事故 的 原因 ,并 作出 进一步 的 处 理 。 

安全 审计 除了 能 够 监控 来 自 网 络 内 部 和 外 部 的 用 户 活 动 , 对 与 安全 有 关 的 活动 的 相关 
信息 进行 识别 .记录 ,存储 和 分 析 , 对 突 发 事件 进行 报警 和 响应 外 ,还 能 通过 对 系统 事件 的 记 
录 ,为 事后 处 理 提 供 重要 依据 ,为 网 络 犯罪 行为 及 泄密 行为 提供 取证 基础 。 同 时 ,通过 对 安 
全 事件 的 不 断 收集 与 积累 并 且 加 以 分 析 , 能 有 选择 性 和 针对 性 地 对 其 中 的 对 象 进行 审计 跟 
踪 , 即 事后 分 析 及 追查 取证 ,以 保证 系统 的 安全 。 


2. 安全 审计 的 功能 


(1) 安全 审计 措施 ,可 以 通过 事后 跟踪 ,对 外 部 的 入 侵 者 以 及 内 部 人 员 的 恶意 行为 具有 
威慑 和 和 警告 作用 。 

(2) 对 于 已 经 发 生 的 系统 破坏 行为 提供 有 效 的 追究 证 据 , 通 过 日 志 数 据 , 记 录 并 监控 系 
统 中 的 人 员 及 设备 的 操作 ,为 事后 的 责任 追究 进行 取证 。 

(3) 为 系统 管理 员 提供 有 价值 的 系统 使 用 日 志 , 从 而 帮助 系统 管理 员 及 时 发 现 系统 人 
侵 行为 或 潜在 的 系统 漏洞 。 

(4) 为 系统 管理 员 提供 系统 运行 的 统计 日 志 , 并 根据 日 志 数据 库 记 录 的 日 志 数 据 , 分 析 
网 络 或 系统 的 安全 性 ,输出 安全 性 分 析 报 告 。 使 系统 管理 员 能 够 发 现 系统 性 能 上 的 不 足 或 
需要 改进 与 加 强 的 地 方 。 


3. 安全 审计 系统 的 分 类 


安全 审计 系统 ,按照 不 同 的 分 类 标准 ,具有 不 同 的 分 类 特性 。 

1) 按 审计 所 分 析 的 对 象 

(1) 针对 主机 的 审计 对 系统 资源 如 系统 文件 .打印 机 和 注册 表 等 文件 的 操作 进行 事前 
控制 和 事后 取证 ,并 形成 日 志文 件 。 

(2) 针对 网 络 的 审计 主要 是 针对 网 络 的 信息 内 容 和 协议 分 析 。 

2) 按 安全 审计 系统 的 工作 方式 

(1) 集中 式 安全 审计 系统 。 

(2) 分 布 式 安全 审计 系统 。 


6.4.2 信息 系统 安全 审计 程序 


以 下 是 李洋 的 硕士 论文 “信息 系统 安全 问题 审计 研究 ”2007) 部 分 内 容 的 选编 。 他 对 信 
息 系统 安全 审计 过 程 和 程序 进行 了 研究 设计 了 安全 审计 的 3 个 步骤 。 


1. 确定 审计 的 范围 


信息 系统 安全 审计 的 第 一 步 是 确定 审计 范围 。 为 了 更 详细 地 确定 信息 系统 的 审计 范 
围 , 审 计 师 应 该 获取 或 者 自行 编制 一 个 信息 系统 详细 清单 。 它 可 以 帮助 审计 人 员 计 划 对 信 
息 系统 的 审计 范围 ,以 及 做 出 开展 审计 所 需 的 人 力 资源 及 必要 的 资金 方面 的 预算 。 创 建 详 
细 清 单 的 一 种 方式 是 对 机 构 各 部 门 经 理 进行 调查 。 如 果 机 构 规模 庞大 ,那么 有 必要 建立 专 
门 的 调查 表 并 分 发 到 各 个 部 门 经 理 处 。 对 于 小 规模 机 构 , 可 通过 电话 或 口头 询问 方式 对 各 
部 门 经 理 进行 调查 ,以 获得 所 需 信息 。 


2. 了 解 被 审 系统 的 基本 情况 


了 解 被 审 系统 基本 情况 是 实施 审计 的 第 二 步 , 对 基本 情况 的 了 解 有 助 于 审计 组 织 对 系 
统 的 组 成 环境、 运行 年 限 、 安 全 控制 等 有 初步 印象 ,以 明确 审计 的 难度 .所 需 时 间 及 大 致 费 
用 等 。 包 括 以 下 两 个 方面 : 

(1) 观察 系统 和 询问 用 户 以 了 解 系统 的 以 下 特性 : 访问 数据 文件 .程序 和 计算 机 硬件 
的 限定 范围 ; 批准 、 存 档 和 测试 新 程序 及 程序 变更 的 过 程 ; 系统 设计 、 存 档 和 测试 的 过 程 ; 
是 否 存 在 硬件 控制 和 环境 控制 ; 备份 文件 的 范围 ; 是 否 存在 灾难 恢复 计划 ,包括 可 替代 的 
处 理 地 点 。 

(2) 研究 系统 及 程序 文档 记录 。 由 于 所 有 系统 及 程序 的 叙述 性 描述 和 流程 图 都 是 每 项 
信息 系统 的 应 用 文档 记录 不 可 或 缺 的 一 部 分 ,研究 文档 记录 能 使 审计 人 员 初 步 评价 包含 程 
序 设计 在 内 的 安全 控制 。 审 计 人 员 应 关注 以 下 内 容 : 系统 及 程序 的 叙述 性 描述 ; 系统 及 程 
序 流程 图 ; 控制 特征 ; 操作 人 员 指南 。 


3. 对 审计 范围 内 的 信息 系统 进行 安全 风险 评估 


信息 系统 安全 风险 评估 是 对 在 当前 保护 措施 下 系统 脆弱 点 遭受 安全 威胁 攻击 导致 资产 
损失 的 潜在 事件 及 其 变 为 现实 的 概率 、. 可 能 性 大 小 的 评估 。 对 信息 系统 进行 安全 风险 评估 
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可 将 重要 信息 展示 给 审计 师 ,帮助 审计 师 确定 重点 审计 领域 ,安排 审计 计划 。 使 审计 师 花费 
更 多 的 时 间 ,资源 在 安全 控制 薄弱 的 信息 系统 上 ,以 查 出 重大 的 安全 控制 隐患 ,将 审计 风险 
降 到 最 低 。 

信息 系统 安全 风险 评估 有 两 种 方法 : 一 种 是 定性 方法 ,主要 以 调查 \ 访 谈 内 容 为 基本 资 
料 , 通 过 理论 推导 和 演绎 分 析 对 资料 进行 整理 ,在 此 基础 上 做 出 调查 结论 ; 另 一 种 定量 方 
法 ,是 指 运用 数量 指标 来 对 风险 进行 评估 。 审 计 师 通常 使 用 风险 分 析 软 件 来 进行 风险 分 析 ， 
对 系统 所 存在 的 最 高 风险 做 出 判断 。 


4. 制定 审计 的 计划 


第 4 步 是 确定 审计 重点 制定 审计 计划 。 审 计 计 划 应 形成 书面 文件 ,并 在 审计 工作 底稿 
中 加 以 记录 。 审 计 计划 的 基本 内 容 应 当 包括 被 审计 单位 的 基本 情况 .审计 范围 和 重点 .审计 
步骤 和 时 间 安 排 \ 人 员 分 工 `. 运 用 的 信息 系统 审计 方法 审计 中 应 注意 的 事项 和 其 他 有 关 
内 容 。 

在 制订 审计 计划 时 ,审计 人 员 还 应 就 计划 中 的 时 间 安 排 与 管理 层 进行 沟通 ,以 确保 得 到 
管理 层 的 支持 和 配合 。 审 计 计 划 不 是 一 成 不 变 的 ,审计 人 员 还 应 适当 地 调整 审计 计划 ,以 适 
应 新 情况 的 需要 。 


5. 实施 信息 系统 安全 审计 


第 5 步 是 信息 系统 安全 审计 实施 ,该 阶段 是 根据 计划 阶段 确定 的 范围 要点、 步骤 \ 方 法 
进行 取证 ,评价 ,借以 形成 审计 结论 ,实现 审计 目标 的 中 间 过 程 。 它 是 信息 系统 安全 审计 全 
过 程 的 中 心 环节 ,分 为 以 下 审计 步骤 ， 

(1) 环境 安全 审计 。 目 的 是 评估 机 构 的 信息 系统 安全 政策 是 否 适当 和 有 效 , 对 于 从 开 
发 商 处 购买 信息 系统 ,还 应 评价 开发 商 的 资格 和 财务 稳定 性 。 

(2) 物理 安全 审计 。 即 评价 整个 计算 机 硬件 、 软 件 及 其 所 在 设备 是 否 受到 了 适当 的 保 
护 ,包括 评估 整个 信息 系统 硬件 和 存储 媒介 的 物理 安全 性 是 否 适 当 : 确定 是 否 任命 了 经 适 
当 培 训 过 的 后 备 系统 安全 管理 员 以 及 评价 书面 的 业务 恢复 计划 的 适当 性 和 有 效 性 。 

(3) 逻辑 安全 审计 。 即 评估 系统 是 否 能 阻止 非 授权 的 人 侵 以 及 对 程序 和 数据 的 无 意 或 
有 意 的 破坏 。 包 括 评价 系统 用 户 登录 权限 分 配 的 合理 性 ; 评估 系统 安全 参数 设置 的 合理 
性 : 测试 系统 的 逻辑 安全 控制 功能 以 及 评价 系统 的 加 密 控制 等 。 

(4) 操作 控制 安全 审计 。 即 评价 操作 系统 是 否 能 安全 并 有 效 地 运行 。 包 括 评价 在 操作 
领域 中 ,职责 是 否 适 当 的 分 离 以 及 评价 管理 政策 和 程序 是 否 能 有 效 阻止 破坏 性 程序 的 侵入 
和 传播 。 


6. 编写 审计 报告 


第 六 步 是 编写 信息 系统 安全 审计 报告 。 这 是 信息 系统 安全 审计 完成 阶段 。 审 计 师 必须 
运用 专业 判断 ,综合 所 收集 到 的 各 种 证 据 , 以 经 过 核实 的 审计 证 据 为 依据 ,形成 审计 意见 ,出 
有 具 信息 系统 审计 报告 。 根 据 国际 信息 系统 审计 与 控制 协会 (ISACA) 发布 的 信息 系统 审计 
准则 的 相关 规定 ,信息 系统 审计 报告 没有 统一 强制 性 的 报告 形式 ,但 审计 报告 中 应 说 明 信 息 
系统 审计 范围 .目标 、 期 间 和 所 执行 的 审计 工作 的 性 质 和 范围 ,以 及 信息 系统 审计 结论 、 信 息 


第 6 章 


斌 


息 安全 管理 X27 


系统 审计 建议 。 此 外 ,信息 系统 审计 报告 中 还 应 指明 信息 系统 审计 所 采用 的 依据 和 信息 系 
统 审 计 技 术 , 以 及 与 之 有 关 的 审计 结果 。 信 息 系统 审计 人 员 在 审计 过 程 中 受到 被 审计 单位 
或 客观 环境 的 限制 ,而 对 某 些 重要 事项 不 能 提供 充分 完整 的 资料 ,也 应 在 信息 系统 审计 报告 
中 予以 说 明 。 


侣 题 6 


1. 名 词 解释 
(1) 信 息 安 全 管理 ; (2) 安 全 策略 ; (3) 安 全 审计 。 
2. 判断 题 
(1) 有 害 程 序 事 件 是 指 蓄意 制造 ,传播 有 害 程序 ,或 是 因 受 到 有 害 程 序 的 影响 而 导致 的 
信息 安全 事件 。( ) 
(2) 网 络 攻击 事件 是 指 通过 网 络 病毒 的 传播 ,使 计算 机 服务 器 陷 人 瘫痪 的 事件 。(  ) 
3. 填空 题 
(1) OSI 安全 体系 结构 的 研究 始 于 1982 年 ,到 1989 年 制定 了 一 系列 特定 安全 服务 的 
标准 ,其 成 果 标 志 是 ISO 发 布 的 ISO 7498 一 2 标准 。 该 标准 的 基础 是 安全 体系 模型 ,包括 三 
方面 的 内 容 : 和 8 
(2) HTP 信息 安全 重型 由 三 :部 分 组 成 : Ns 
(3) 信息 安全 运行 管理 系统 的 主体 功能 包括 和 
4. 选择 题 
(1) 一 个 有 效 的 信息 安全 管理 体系 具有 如 下 ( ) 功 能 。 
A. 美观 的 界面 和 良好 的 易 操 作 性 
B. 规范 组 织 的 信息 安全 行为 
C. 对 组 织 的 关键 信息 资产 进行 全 面 系统 的 保护 
D. 促使 管理 层 坚持 贯彻 信息 安全 保障 体系 
(2) 要 构建 一 个 有 效 的 信息 安全 管理 体系 ,可 以 采取 如 下 ( ) 方 式 ， 
A， 建立 信息 安全 管理 框架 B. 具体 实施 构架 的 ISMS 
C. 精准 的 需求 分 析 D. 用 户 信息 和 访问 权限 控制 
(3) 信息 安全 运行 管理 系统 应 能 支持 分 布 式 部 署 ,并 能 够 实现 分 安全 域 分 级 别管 理 。 
应 能 提供 以 下 ( ) 功 能 。 


A. 安全 策略 管理 B. 安全 事件 管理 
C. 安全 对 象 风险 管理 D. 流程 管理 

(4) 对 信息 安全 事件 的 分 级 主要 考虑 以 下 ( ”“) 要 素 。 
A. 信息 的 流失 程度 B. 信息 系统 的 重要 程度 
C. 系统 技术 D. 系统 损失 

(5) 支持 灾难 恢复 各 个 等 级 所 需 的 资源 有 ( ”) 要 素 。 
A. 数据 备份 系统 B. 备用 数据 处 理 系 统 
C. 备用 网 络 系统 D. 备用 基础 设施 


E. 专业 技术 支持 能 力 
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5. 简 答题 

(1) 建立 信息 安全 管理 体系 一 般 要 经 过 哪些 步骤 ? 
(2) 进行 信息 安全 风险 评估 的 方法 有 哪些 ? 

(3) 灾难 恢复 资源 的 获取 方式 有 哪些 ? 

(4) 简 述 风险 分 析 计 算 原理 。 
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本 章 将 介绍 物 联网 安全 的 基本 概念 , 物 联网 安全 体系 结构 和 物 联 网 安全 技术 方法 。 要 
求学 生 了 解 物 联网 安全 的 基本 框架 。 


C1 物 联网 安全 概述 


本 节 将 介绍 物 联网 的 基本 概念 , 物 联网 安全 的 基本 概念 , 物 联 网 安全 威胁 ,并 对 物 联网 
安全 进行 技术 分 析 。 


7.1.1 物 联网 概述 
1. 物 联网 概念 


物 联网 指 将 各 种 信息 传 感 设备 ,如 射频 识别 (RFID)、 红 外 感应 器 、 全 球 定位 系统 、 激 光 
扫描 器 等 种 种 装置 与 互联 网 结合 起 来 而 形成 的 一 个 巨大 网 络 。 物 联网 被 称 为 是 继 互联 网 和 
移动 通信 网 之 后 的 世界 信息 产业 的 第 三 次 浪潮 。 虽 然 物 联网 还 处 在 发 展 初期 ,当前 的 应 用 
还 不 够 广泛 ,但 可 以 预见 的 是 物 联网 将 在 各 行业 、 各 领域 中 得 到 广泛 的 应 用 ,遍及 智能 交通 、 
智能 家 居 、 智 能 物流 \ 环 境 保护 、 农 业 生产 、 政 府 工作 、 公 共 安 全 、 智 能 消防 、 工 业 监 测 、 医 疗 保 
健 等 多 个 领域 。 物 联网 的 应 用 将 会 给 人 们 的 生产 生活 带 来 极 大 的 便利 ,并 会 因此 改变 人 类 
的 生活 方式 。 


2. 物 联 网 体系 结构 


物 联 网 业界 比较 认可 的 三 层 结构 是 感知 层 (利用 RFID、 传 感 器 等 随时 随地 获取 物体 的 
信息 )、 网 络 层 (也 称 为 传输 层 。 通 过 各 种 网 络 融合 ,将 物体 的 信息 实时 准确 地 传递 出 去 ) 和 
应 用 层 ( 利 用 云 计 算 、 模 糊 识别 等 各 种 智能 计算 技术 对 海量 数据 和 信息 进行 分 析 和 处 理 , 对 物 
体 实施 智能 化 的 控制 )。 其 中 ,感知 层 和 应 用 层 是 物 联网 的 核心 ,而 网 络 层 则 是 物 联网 的 基础 。 


3. 物 联网 现状 


近年 , 物 联网 已 成 为 许多 国家 发 展 的 战略 。 从 2005 年 开始 ,许多 国家 已 开始 “无 处 不 在 
物 联 网 ”的 发 展 战略 。 日 韩 基于 物 联 网 的 “U 社会 ”战略 、 欧 洲 “ 物 联网 行动 计划 ”以 及 美国 
“智能 电网 ”“ 智 慧 地 球 ” 等 计划 也 纷纷 出 台 。2009 年 ,我 国 提出 了 把 无 锡 建 成 “感知 中 国 ” 
中 心 的 规划 。 
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目前 , 物 联网 已 经 开始 在 军事 工业、 农业、 环境 监测 、 建 筑 . 医 疗 . 空 间 和 海洋 探索 等 领 
域 投 入 应 用 。2009 年 ,包括 Google 在 内 的 互联 网 厂商 .IBM、 思 科 在 内 的 设备 制造 商 和 方 
案 解 决 商 以 及 AT&T、Veri-zon .中 移动 .中 国电 信 等 在 内 的 电信 运营 企业 纷纷 加 速 了 物 联 
网 的 战略 布局 ,以 期 在 未 来 的 物 联网 领域 取得 先 发 优 势 。 

物 联网 不 仅仅 是 社会 生活 层面 的 应 用 技术 ,更 是 国家 战略 层面 的 重点 课题 。 各 国都 把 
物 联网 建设 提升 到 国家 战略 来 抓 , 通 过 大 力 加 强 本 国 物 联网 建设 来 占领 这 个 后 IP 时 代 制 高 
点 ,从 而 推动 和 引领 未 来 世界 经 济 的 发 展 。 物 联网 成 为 各 国 提 升 综合 竞争 力 的 重要 手段 。 
物 联网 安全 随 着 物 联网 的 发 展 变 得 越 来 越 重 要 。 


4. 物 联 网 发 展 的 前 景 


作为 一 种 新 的 技术 , 物 联网 有 巨大 的 发 展 空间 和 前 景 。 

(1) 物 联 网 巨大 商机 。 全 球 通信 网 络 在 经 历 了 几 十 年 快速 发 展 之 后 ,已 经 可 以 基本 满 
足 人 与 人 随时 随地 沟通 的 需求 ,而 物 与 物 、 物 与 人 的 通信 及 上 层 应 用 这 种 物 联网 的 基本 发 展 
需求 正 涌现 出 来 。 据 预测 ,到 2020 年 ,世界 上 * 物 物 互 联 ?的 业务 跟 人 与 人 通信 的 业务 比例 
将 达到 30 : 1,“ 物 联网 ”被 认为 是 下 一 个 万 亿美 元 级 的 通信 业务 。 

(2) 物 联网 应 用 领域 更 广 。 现 代 物 联网 发 展 越 来 越 趋向 于 精细 化 ,如 提高 了 数据 采集 
的 实时 性 和 准确 性 ,提高 了 城市 管理 .工业 管理 和 操作 管理 的 效率 和 精确 程度 。 其 次 , 物 联 
网 发 展 也 更 加 智能 化 ,管理 方式 也 更 加 简单 。 目 前 ,全 球 物 联 网 的 发 展 涉及 医疗 、 机 器 制造 、 
消费 品 制造 .节能 环保 产品 ,电子 支付 \ 农 业 控制 ,交通 和 教育 等 方面 。 其 中 最 具 代 表 性 的 是 
美国 IBM 提出 的 智慧 地 球 .欧盟 提出 的 F2010、 日 本 提出 的 FJAPAN, 以 及 中 国 的 智慧 城市 。 

(3) 物 联网 的 前 景 诱 人 。2010 年 之 前 的 RFID 被 广泛 应 用 于 物流 、 零 售 和 制药 领域 , 主 
要 处 于 闭环 的 行业 应 用 阶段 。 未 来 10 年 内 物体 进入 半 智 能 化 阶段 , 物 联 网 与 互联 网 走向 融 
合 。10 年 后 ,物体 进入 全 智能 化 阶段 ,无 线 传 感 网 络 得 到 规模 应 用 ,将 进入 泛 在 网 的 发 展 阶 
段 。 我 们 的 工作 生活 将 更 加 方便 、 和 舒适 。 


5. 物 联 网 发 展 瓶 颈 


作为 一 个 新 的 事物 ,其 发 展 将 会 面 对 一 些 困 难 和 挑战 。 

(1) 实时 性 ,安全 可 信和 性 、 资 源 保证 性 等 方面 要 求 高 。 物 联网 和 互联 网 的 关系 是 密 不 可 
分 .相辅相成 的 。 从 信息 的 安全 可 信和 角度 来 讲 , 物 联网 和 互联 网 在 网 络 的 组 织 形态 .网络 功 
能 以 及 性 能 上 的 要 求 都 是 不 一 样 的 。 互 联网 基于 优先 级 管理 的 典型 特征 使 得 其 对 于 安全 、 
可 信 、 可 控 、 可 管 都 没有 要 求 , 但 是 , 物 联 网 对 于 实时 性 、 安 全 可 信人 性 ,资源 保证 性 等 方面 却 有 
很 高 的 要 求 。 

(2) 以 应 用 需求 为 导向 ,带动 物 联网 技术 与 产业 的 发 展 。 目 前 全 球 物 联网 状况 尚 处 于 
概念 ,论证 与 试验 阶段 ,处 于 攻克 关键 技术 、 制 定 标准 规范 与 研发 应 用 的 初级 阶段 。 物 联网 
发 展 进展 中 ,从 技术 发 展 趋势 呈现 出 融合 化 ,嵌入 化 、 可 信 化 ,智能 化 的 特征 ,从 管理 应 用 发 
展 趋势 呈现 标准 化 、 服 务 化 ,开放 化 .工程 化 的 特征 。 物 联网 发 展 的 关键 在 于 应 用 ,只 有 以 应 
用 需求 为 导向 ,才能 带动 物 联网 技术 与 产业 的 蓬勃 发 展 。 

(3) 全 球 物 联网 发 展 将 面临 的 挑战 。 全 球 物 联网 的 发 展 涉及 政府 部 门 的 战略 性 支持 ， 
产业 链 的 完善 ,关键 技术 的 发 展 和 成 熟 ,市 场 需求 的 扩大 等 多 个 方面 。 其 中 , 物 联 网 的 安全 
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将 是 未 来 发 展 必须 面 对 的 、 不 可 忽视 的 ,非常 紧迫 的 技术 问题 。 
7.1.2 物 联网 安全 概念 
1. 物 联网 安全 的 定义 


物 联 网 安全 指 物 联网 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 的 原 
因而 遭 到 破坏 、 更 改 、 泄 露 , 物 联网 系统 可 连续 可 靠 正常 地 运行 , 物 联网 服务 不 中 断 。 

物 联网 系统 的 安全 是 保障 物 联网 应 用 系统 在 信息 采集 汇聚 传输、 处理 和 决策 等 全 过 
程 中 的 安全 可 靠 。 


2. 物 联网 安全 属性 


感知 信息 的 多 样 性 、 网 络 环境 的 复杂 性 和 应 用 需求 的 多 样 性 ,给 物 联网 安全 提出 了 新 的 
挑战 。 信 息 与 网 络 安全 的 目标 是 要 保证 被 保护 信息 的 机 密 性 、 完 整 性 和 可 利用 性 。 物 联网 
以 数据 为 中 心 的 特点 和 应 用 密切 相关 性 ,决定 了 物 联网 总 体 安全 目标 要 达到 . 保密 性 ,避免 
非法 用 户 读 取 机 密 数 据 ; 数据 鉴别 能 力 , 避 免 节 点 被 恶意 注 人 虚假 信息 ; 设备 鉴别 ,避免 非 
法 设备 接 入 物 联 网 ; 完整 性 , 校 验 数据 是 否 被 修改 ; 可 用 性 ,确保 感知 网 络 的 服务 任何 时 间 
都 可 提供 给 合法 用 户 。 


3. 物 联网 安全 体系 


面 对 物 联网 安全 威胁 ,其 安全 体系 应 该 包括 三 个 部 分 。 

(1) 数据 的 安全 。 通 过 安全 定位 ,在 物 联 网 恶 攻 下 , 仍 能 有 效 安全 地 确定 节点 位 置 。 安 
全 数据 融合 ,任何 情况 下 保证 融合 数据 的 真实 准确 的 方法 ,保证 处 理 数据 的 保密 性 .完整 性 
和 时 效 性 。 

(2) 网 络 的 安全 。 通 过 安全 路 由 ,防止 因 误 、 滥 用 路 由 协议 而 导致 网 络 瘫痪 或 信息 汇 
露 ; 容 侵 容 错 应 避免 人 侵 或 攻击 对 系统 造成 的 影响 ,还 应 使 用 网 络 可 扩展 、 负 载 均 衔 等 策略 
为 应 用 层 提供 数据 服务 。 

(3) 节点 的 安全 。 通 过 安全 有 效 的 密 钥 管理 机 制 .高效 元 余 的 密码 算法 、 较 量 级 的 安全 
协议 为 网 络 传输 层 和 应 用 层 提供 安全 基础 设施 。 


4. 物 联 网 安全 特征 


在 物 联 网 世界 ,安全 威胁 带 来 的 隐患 更 需要 引起 产业 链 的 关注 和 重视 。IDC 认为 , 物 联 
网 的 两 个 特征 决定 了 物 联 网 安全 的 特殊 性 : 

(1) 物 联网 终端 的 数量 大 ,种 类 多 ,分布 广 ,发 展 快 ,其 规模 越 来 越 大 是 安全 问题 的 重要 
因素 。 物 联网 除了 面 对 传 统 TCP/IP 网 络 .无线 网 络 和 移动 通信 网 络 等 传统 网 络 安全 问题 
之 外 ,也 存在 着 大 量 自身 的 特殊 安全 问题 ,这 些 特殊 性 大 多 来 自 感知 层 。 

(2) 物 联 网 应 用 是 物 联网 的 核心 和 业务 关键 环节 ,设备 所 承载 的 资产 价值 增加 ,黑客 攻 
击 威胁 ,数据 丢失 、 信 息 驭 扰 等 新 安全 问题 逐步 凸显 。 与 互联 网 不 同 , 互 联网 出 现 问题 损失 
的 是 信息 ,可 以 通过 信息 的 加 密 和 备份 来 降低 甚至 避免 损失 ,而 物 联 网 连接 的 是 物理 世界 ， 
物 联 网 发 展 带 来 的 信息 安全 、 网 络 安全 ,数据 安全 乃至 生命 财产 和 国家 政治 经 济 安全 问题 将 
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更 为 突出 。 
7.1.3 物 联 网 安全 威胁 
1. 物 联网 安全 的 问题 


除了 传统 网 络 安全 问题 之 外 , 物 联 网 还 存在 着 一 些 特殊 的 安全 问题 。 这 是 因为 物 联 网 
由 大 量 的 机 器 构成 ,缺少 人 对 设备 的 有 效 监控 ,并 且 数 量 庞大 ,设备 集群 等 相关 特点 造成 的 。 
这 些 特殊 的 安全 问题 主要 有 以 下 几 个 方面 : 

(1) 物 联 网 机 器 /感知 节点 的 本 地 安全 问题 。 由 于 物 联网 的 应 用 可 以 取代 人 来 完成 一 
些 复 杂 、 危 险 和 机 械 的 工作 ,因此 物 联网 机 器 /感知 节点 多 数 部 署 在 无 人 监控 的 场景 中 。 那 
么 攻击 者 就 可 以 轻易 地 接触 到 这 些 设备 ,从 而 对 它们 造成 破坏 ,甚至 通过 本 地 操作 更 换 机 器 
的 软 硬 件 。 

(2) 感知 网 络 的 传输 与 信息 安全 问题 。 感 知 节点 通常 情况 下 功能 简单 (如 自动 温度 
计 ) 携带 能 量 少 (使 用 电池 ) ,使 得 它们 无 法 拥有 复杂 的 安全 保护 能 力 , 而 感知 网 络 多 种 多 
样 ,从 温度 测量 到 水 文 监控 ,从 道路 导航 到 自动 控制 ,它们 的 数据 传输 和 消息 也 没有 特定 的 
标准 ,所 以 没 法 提供 统一 的 安全 保护 体系 。 

(3) 核心 网 络 的 传输 与 信息 安全 问题 。 核 心 网 络 具有 相对 完整 的 安全 保护 能 力 ,但 是 
由 于 物 联 网 中 节点 数量 庞大 , 且 以 集群 方式 存在 ,因此 会 导致 在 数据 传播 时 ,由 于 大 量 机 器 
的 数据 发 送 使 网 络 拥塞 ,产生 拒绝 服务 攻击 。 此 外 , 现 有 通信 网 络 的 安全 架构 都 是 从 人 通信 
的 角度 设计 的 ,并 不 适用 于 机 器 的 通信 。 使 用 现 有 安全 机 制 会 割裂 物 联网 机 器 间 的 逻辑 关系 。 

(4) 物 联 网 业务 的 安全 问题 。 由 于 物 联 网 设备 可 能 是 先 部 署 后 连接 网 络 ,而 物 联网 节 
点 又 无 人 看 守 , 所 以 如 何 对 物 联 网 设备 进行 远程 签约 信息 和 业务 信息 配置 就 成 了 难题 。 另 
外 ,庞大 且 多 样 化 的 物 联网 平台 必然 需要 一 个 强大 而 统一 的 安全 管理 平台 ,和 否则 独立 的 平台 
会 被 各 式 各 样 的 物 联网 应 用 所 淹没 。 但 如 此 一 来 ,如 何 对 物 联 网 机 器 的 日 志 等 安全 信息 进 
行 管理 成 为 新 的 问题 ,并 且 可 能 割裂 网 络 与 业务 平台 之 间 的 信任 关系 ,导致 新 一 轮 安 全 问题 
的 产生 。 


2. 物 联 网 的 整体 安全 威胁 


江南 大 学 物 联网 工程 学 院 的 李 志 华 和 中 科 院 高 能 物理 研究 所 网 络 安全 实验 室 的 许 榕 生 
学 者 对 物 联网 安全 威胁 进行 了 研究 ,下 面 是 他 们 两 个 人 观点 的 综合 。 他 们 认为 , 物 联网 面临 
的 安全 威胁 表现 在 : 

(1) 传 感 网 络 是 安全 不 确定 性 的 环境 。 传 感 智能 节点 是 监测 和 控制 网 络 上 的 各 种 设 
备 , 它 们 监测 网 络 的 不 同 内 容 、 提 供 各 种 不 同 格式 的 事件 数据 来 表征 网 络 系统 当前 的 状态 。 
然而 ,这 些 节 点 又 是 一 个 外 来 人 侵 的 最 佳 场所 。 从 这 个 角度 看 , 物 联网 感知 层 的 数据 非常 复 
杂 ,数据 间 存 在 着 频繁 的 冲突 与 合作 ,具有 很 强 的 宛 余 性 和 互补 性 , 且 是 海量 数据 。 它 具有 
很 强 的 实时 性 特征 ,同时 又 是 多 源 异 构 型 数据 。 复 杂 的 网 络 和 实时 性 强 的 要 求 将 是 一 个 新 
的 课题 新 的 挑战 。 

(2) 当 物 联网 感知 层 主 要 采用 RFID 技术 时 , 租 入 了 RFID 芯片 的 物品 不 仅 能 方便 地 被 
物品 主人 所 感知 ,同时 其 他 人 也 能 进行 感知 。 特 别 是 当 这 种 被 感知 的 信息 通过 无 线 网 络 平 
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台 进 行 传输 时 ,信息 的 安全 性 相当 脆弱 。 如 何在 感知 ,传输 、 应 用 过 程 中 提供 一 套 强大 的 安 
全 体系 作 保障 是 一 个 难题 。 

(3) 物 联网 的 传输 层 和 应 用 层 也 存在 安全 隐患 , 咪 待 出 现 相 对 应 的 、 高 效 的 安全 防范 策 
略 和 技术 。 只 是 在 这 两 层 可 以 借鉴 TCP/IP 网 络 已 有 技术 的 地 方 比较 多 一 些 , 与 传统 的 网 
络 对 抗 相互 交叉 。 


3. 对 物 联网 的 具体 威胁 


李 志 华 和 许 榕 生 学 者 认为 , 物 联网 除了 面 对 传 统 TCP/IP 网 络 、 无 线 网 络 和 移动 通信 网 
络 等 传统 网 络 安全 问题 之 外 ,还 存在 着 大 量 自身 的 特殊 安全 问题 ,并 且 这 些 特殊 性 大 多 来 自 
感知 层 。 主 要 威胁 有 以 下 几 方 面 : 

(1) 安全 隐私 。 如 射频 识别 技术 被 用 于 物 联网 系统 时 ,RFID 标签 被 嵌入 任何 物品 中 。 
例如 ,人 们 的 日 常生 活用 品 中 ,而 用 品 的 拥有 者 不 一 定 能 觉察 ,从 而 导致 用 品 的 拥有 者 不 受 
控制 地 被 扫描 ,定位 和 追踪 ,这 不 仅 涉及 技术 问题 ,而 且 还 将 涉及 法 律 问题 。 

(2) 智能 感知 节点 的 自身 安全 。 即 物 联网 机 器 /感知 节点 的 本 地 安全 问题 。 由 于 物 联 
网 的 应 用 可 以 取代 人 来 完成 一 些 复杂 、 危 险 和 机 械 的 工作 ,所 以 物 联网 机 器 /感知 节点 多 数 
部 署 在 无 人 监控 的 场景 中 。 那 么 攻击 者 就 可 以 轻易 地 接触 到 这 些 设 备 , 从 而 对 它们 造成 破 
坏 , 甚 至 通过 本 地 操作 更 换 机 器 的 软 硬 件 。 

(3) 假冒 攻击 。 由 于 智能 传 感 终端 `.RFID 电子 标签 相对 于 传统 TCP/IP 网 络 而 言 是 
“裸露 "在 攻击 者 的 眼皮 底下 的 ,再 加 上 传输 平台 是 在 一 定 范围 内 “暴露 "在 空中 的 ,“ 帘 扰 " 在 
传 感 网 络 领域 显得 非常 频繁 ,并 且 容 易 。 所 以 ,传感器 网 络 中 的 假冒 攻击 是 一 种 主动 攻击 形 
式 , 它 极 大 地 威胁 着 传感器 节点 间 的 协同 工作 。 

(4) 数据 驱动 攻击 。 数 据 驱动 攻击 是 通过 向 某 个 程序 或 应 用 发 送 数据 ,以 产生 非 预期 
结果 的 攻击 ,通常 为 攻击 者 提供 访问 目标 系统 的 权限 。 数 据 驱 动 攻击 分 为 缓冲 区 溢出 攻击 、 
格式 化 字符 串 攻击 、 输 入 验证 攻击 、 同 步 漏洞 攻击 和 信任 漏洞 攻击 等 。 通 常 向 传 感 网 络 中 的 
汇聚 节点 实施 缓冲 区 溢出 攻击 是 非常 容易 的 。 

(5) 恶意 代码 攻击 。 恶 意 程序 在 无 线 网 络 环 境 和 传 感 网 络 环境 中 有 无 穷 多 的 入 口 。 一 
且 和 人 侵 成 功 ,之 后 通过 网 络 传播 就 变 得 非常 容易 。 它 的 传播 性 、 隐 项 性 破坏 性 等 相 比 
TCP/IP 网 络 而 言 更 加 难以 防范 ,如 类 似 于 蠕虫 这 样 的 恶意 代码 ,本身 又 不 需要 寄生 文件 ， 
在 这 样 的 环境 中 检测 和 清除 这 样 的 恶意 代码 将 很 困难 。 

(6) 拒绝 服务 。 这 种 攻击 方式 多 数 会 发 生 在 感知 层 安全 与 核心 网 络 的 衔接 之 处 。 由 于 
物 联 网 中 节点 数量 庞大 , 且 以 集群 方式 存在 ,因此 在 数据 传播 时 ,大 量 节点 的 数据 传输 需求 
会 导致 网 络 拥塞 ,产生 拒绝 服务 攻击 。 

(7) 物 联网 业务 的 安全 。 由 于 物 联网 节点 无 人 值守 ,并 且 有 可 能 是 动态 的 ,如 何 对 物 联 
网 设备 进行 远程 签约 信息 和 业务 信息 配置 就 成 了 难题 。 另 外 , 现 有 通信 网 络 的 安全 架构 都 
是 从 人 与 人 之 间 的 通信 需求 出 发 的 ,不 一 定 适合 以 机 器 与 机 器 之 间 的 通信 为 需求 的 物 联 网 
络 。 使 用 现 有 的 网 络 安全 机 制 会 割裂 物 联网 机 器 间 的 逻辑 关系 。 

(8) 信息 安全 。 感 知 节点 通常 情况 下 功能 单一 、 能 量 有 限 ,使 得 它们 无 法 拥有 复杂 的 安 
全 保护 能 力 ,而 感知 层 的 网 络 节点 多 种 多 样 ,所 采集 的 数据 、 传 输 的 信息 和 消息 也 没有 特定 
的 标准 ,所 以 无 法 提供 统一 的 安全 保护 体系 。 
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(9) 传输 层 和 应 用 层 的 安全 隐患 。 在 物 联网 络 的 传输 层 和 应 用 层 将 面临 现 有 TCP/IP 
网 络 的 所 有 安全 问题 ,同时 还 因为 物 联 网 在 感知 层 所 采集 的 数据 格式 多 样 , 来 自 各 种 各 样 感 
知 节点 的 数据 是 海量 的 ,并 且 是 多 源 异 构 数 据 , 带 来 的 网 络 安全 问题 将 更 加 复杂 。 


4. 物 联网 面临 的 安全 挑战 


由 于 安全 和 威胁 , 物 联网 面临 前 所 未 有 的 挑战 。 主 要 表现 在 以 下 几 个 方面 : 

(1) 互联 网 的 脆弱 性 。 物 联网 建设 在 互联 网 的 基础 之 上 ,而 互联 网 在 设计 之 初 ,其 目标 
是 设计 一 种 主要 用 于 研究 和 军事 目的 的 网 络 ,相对 比较 封闭 ,并 没有 考虑 安全 问题 。 互 联网 
本 身 并 不 保障 安全 性 ,这 是 当前 互联 网 安全 问题 日 益 严 重 的 根源 。 互 联网 所 具有 的 安全 问 
题 , 物 联网 同样 具有 。 

(2) 复杂 的 网 络 环境 。 物 联网 将 组 网 的 概念 延伸 到 了 现实 生活 的 物品 当中 ,从 某 种 意 
义 上 来 说 ,现实 生活 将 建设 在 物 联网 中 ,从 而 导致 物 联网 的 组 成 非常 复杂 ,复杂 性 带 来 了 不 
确定 性 ,我 们 无 法 确定 物 联网 信息 传输 的 各 个 环节 是 否 被 未 知 的 攻击 者 控制 ,复杂 性 可 以 说 
是 安全 的 最 大 障碍 。 

(3) 无 线 信道 的 开放 性 。 为 了 满足 物 联网 终端 自由 移动 的 需要 , 物 联网 边缘 一 般 采 用 
无 线 组 网 的 方式 ,但 是 ,无 线 信道 的 开放 性 使 其 很 容易 受到 外 部 信号 干扰 和 攻击 。 同 时 ,无 
线 信道 不 存在 明显 边界 ,外 部 观测 者 可 以 很 容易 监听 到 无 线 信 号 。 

(4) 物 联 网 终端 的 局 限 性 。 一 方面 ,无 线 组 网 方式 使 物 联网 面临 着 更 为 严峻 的 安全 形 
势 , 使 其 对 安全 提出 了 更 高 要 求 ; 另 一 方面 , 物 联网 终端 一 般 是 一 种 微型 传感器 ,其 处 理 、 存 
储 能 力 以 及 能 量 都 比较 低 ,导致 一 些 对 计算 存储、 功 耗 要 求 较 高 的 安全 措施 无 法 加 载 。 

(5) 无 线 网 络 攻击 升级 。 无 线 网 络 比 有 线 网 络 更 容易 受到 入 侵 ,因为 被 攻击 端的 计算 
机 与 攻击 端的 计算 机 并 不 需要 网 线 设 备 上 的 连接 ,攻击 者 只 要 在 你 所 在 网 域 的 无 线路 由 器 
或 中 继 器 的 有 效 范围 内 ,就 可 以 进入 内 部 网 络 ,访问 资源 。 近 几 年 针对 无 线 终端 手机、 显示 
屏 物理 设备 的 动 持 和 控制 的 演示 已 成 为 主流 。 目 前 ,通过 智能 手机 和 手持 设备 发 起 攻击 的 
技术 不 断 完善 。 一 个 非常 简单 的 设备 如 手机 、 计 算 机 ,就 可 以 攻破 智能 卡 。 

(6) 经 济 利益 诱惑 。 任 何 一 个 社会 高 度 依赖 的 大 众 化 基础 设施 ,都 将 会 吸引 一 些 恶 意 
攻击 者 的 破坏 。 物 联网 的 价值 非常 巨大 , 它 将 影响 并 控制 现实 世界 中 的 事件 ,并 且 包 含 一 些 
非常 有 价值 的 信息 ,从 而 不 可 避免 地 受到 攻击 者 的 极度 关注 。 针 对 物 联网 的 攻击 主要 表现 
在 以 下 几 个 方面 : 利用 漏洞 的 远程 设备 控制 ; 标签 复制 和 身份 窃取 ; 非 授权 数据 访问 ; 破 
坏 数 据 完整 性 ; 传输 信号 干扰 ; 拒绝 服务 。 

(7) 国家 和 社会 的 安全 。 在 物 联网 发 展 的 高 级 阶段 ,由 于 物 联网 具有 感知 、 计 算 和 执行 
能 力 , 广 泛 存 在 的 感知 设备 将 会 对 国家 、 社 会 .企业 和 个 人 信息 安全 构成 新 的 威胁 。 一 方面 ， 
由 于 物 联网 具有 网 络 技术 种 类 上 的 兼容 和 业务 范围 上 无 限 扩展 的 特点 ,因此 当 大 到 国家 电 
网 数据 ,小 到 个 人 病例 情况 都 接 到 看 似 无 边界 的 物 联网 时 ,将 可 能 导致 更 多 的 公众 个 人 信息 
在 任何 时 候 、 任 何 地 方 被 非法 获取 ; 另 一 方面 , 随 着 国家 重要 的 基础 行业 和 社会 关键 服务 
领域 如 电力 、 医 疗 等 都 依赖 于 物 联网 和 感知 业务 ,国家 基础 领域 的 动态 信息 将 可 能 被 窃 
取 。 所 有 的 这 些 问 题 使 得 物 联网 安全 上 升 到 国家 层面 ,成 为 影响 国家 发 展 和 社会 稳定 的 


7.1.4 物 联 网 安全 的 技术 分 析 
1. 物 联网 安全 的 技术 局 限 


信息 安全 专家 国富 安 认 为 ,从 物 联 网 概念 传人 中 国之 初 到 现在 , 随 着 物 联网 建设 的 加 
快 , 物 联网 的 安全 问题 必然 成 为 制约 物 联网 全 面 发 展 的 重要 因素 ,其 技术 局 限 表现 为 : 

1) 现实 技术 的 局 限 性 

与 传统 网 络 相 比 , 物 联网 感知 节点 大 都 部 署 在 无 人 监控 的 环境 ,具有 脆弱 ,资源 受 限 等 
特点 ,并 且 由 于 物 联网 是 在 现 有 的 网 络 基础 上 扩展 了 感知 网 络 和 应 用 平台 ,传统 网 络 安全 措 
施 不 足以 提供 可 靠 的 安全 保障 ,从 而 使 得 物 联网 的 安全 问题 具有 特殊 性 。 所 以 在 解决 物 联 
网 安全 问题 时 ,必须 根据 物 联网 本 身 的 特点 设计 相关 的 安全 机 制 。 

由 于 物 联网 设备 是 先 部 署 后 连 网 ,而 物 联网 节点 又 无 人 值守 ,所 以 如 何 对 物 联网 设备 远 
程 签约 ,如 何 对 业务 信息 进行 配置 就 成 了 物 联网 安全 的 难题 之 一 。 另 外 ,庞大 且 多 样 化 的 物 
联网 必然 需要 一 个 强大 而 统一 的 安全 管理 平台 ,和 否则 单独 的 平台 会 被 各 式 各 样 的 物 联网 应 
用 所 淹没 。 但 这 样 将 使 如 何 对 物 联网 机 器 的 日 志 等 安全 信息 进行 管理 成 为 新 的 问题 ,并 且 
可 能 割裂 网 络 与 业务 平台 之 间 的 信任 关系 ,导致 新 一 轮 安 全 问题 的 产生 。 传 统 的 认证 是 区 
分 不 同 层次 的 ,网 络 层 的 认证 负责 网 络 层 的 身份 鉴别 ,业务 层 的 认证 负责 业务 层 的 身份 鉴 
别 , 两 者 独立 存在 。 但 是 大 多 数 情况 下 , 物 联网 机 器 都 是 拥有 专门 的 用 途 ,因此 其 业务 应 用 
与 网 络 通信 紧 紧 地 绑 在 一 起 ,很 难 独立 存在 。 

物 联网 应 用 是 信息 技术 与 行业 专业 技术 紧密 结合 的 产物 。 物 联网 应 用 层 充分 体现 物 联 
网 智能 处 理 的 特点 ,其 涉及 业务 管理 ,中间 件 ,数据 挖掘 等 技术 。 考 虑 到 物 联网 涉及 多 领域 
多 行业 ,因此 广 域 范围 的 海量 数据 信息 处 理 和 业务 控制 策略 将 在 安全 性 和 可 靠 性 方面 面临 
巨大 挑战 。 

2) 未 来 技术 的 要 求 

物 联 网 安全 的 总 体 需求 是 物理 安全 信息 采集 安全 信息 传输 安全 和 信息 处 理 安全 的 综 
合 ,安全 的 最 终 目标 是 确保 信息 的 机 密 性 、 完 整 性 、 真 实 性 和 网 络 的 容错 性 。 

物 联网 的 实现 并 不 仅仅 是 技术 方面 的 问题 ,建设 物 联网 过 程 将 涉及 规划 ,管理 ,协调 ,合作 
以 及 标准 和 安全 保护 等 方面 的 问题 ,这 就 需要 有 一 系列 相应 的 配套 政策 和 规范 的 制定 和 完善 。 


2. 物 联网 安全 技术 的 三 个 层面 


工业 和 信息 化 部 计算 机 与 微 电 子 发 展 研究 中 心 的 刘 法 旺 等 学 者 认为 ,从 技术 角度 看 , 物 
联网 安全 应 该 考虑 三 个 层面 : 

(1) 感知 层 安 全 。 感 知 节点 呈现 多 源 异 构 性 ,感知 节点 通常 情况 下 功能 简单 (如 自动 温 
度 计 ) ,携带 能 量 少 ( 使 用 电池 ) ,使 得 它们 无 法 拥有 复杂 的 安全 保护 能 力 ,而 感知 网 络 多 种 多 
样 ,从 温度 测量 到 水 文 监控 ,从 道路 导航 到 自动 控制 ,它们 的 数据 传输 和 消息 也 没有 特定 的 
标准 ,所 以 没 法 提供 统一 的 安全 保护 体系 。 

(2) 传输 层 安 全 。 核 心 网 络 具 有 相对 完整 的 安全 保护 能 力 , 但 是 物 联网 中 节点 数量 庞 
大 , 且 以 集群 方式 存在 ,因此 会 导致 在 数据 传播 时 ,由 于 大 量 数据 发 送 使 网 络 拥塞 , 易 产 生 拒 
绝 服务 攻击 。 此 外 , 现 有 通信 网 络 的 安全 架构 都 是 以 人 通信 的 角度 设计 的 ,对 以 物 为 主体 的 
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物 联网 ,要 建立 适合 感知 信息 传输 与 应 用 的 安全 架构 。 

(3) 应 用 层 安 全 。 支 撑 物 联网 业务 的 平台 有 着 不 同 的 安全 策略 ,如 云 计 算 、 分 布 式 系统 
和 海量 信息 处 理 等 ,这 些 支撑 平台 要 为 上 层 服务 管理 和 大 规模 行业 应 用 建立 起 一 个 高 效 、 可 
靠 和 可 信 的 系统 ,而 大 规模 、 多 平台 、 多 业务 类 型 使 物 联 网 业务 层次 的 安全 面临 新 的 挑战 ,是 
针对 不 同 的 行业 应 用 建立 相应 的 安全 策略 ,还 是 建立 一 个 相对 独立 的 安全 架构 。 


3. 物 联网 安全 的 技术 


物 联 网 是 在 感知 网 和 互联 网 基础 上 构建 的 应 用 平台 ,因此 ,网 络 中 的 大 部 分 机 制 . 方 法 
仍 可 适用 于 物 联网 安全 ,如 认证 机 制 . 加 密 机 制 等 。 

1) 物 联 网 中 的 业务 认证 机 制 

传统 的 认证 是 区 分 不 同 层次 的 ,网 络 层 的 认证 就 负责 网 络 层 的 身份 鉴别 ,业务 层 的 认证 
就 负责 业务 层 的 身份 鉴别 ,两 者 独立 存在 。 但 是 在 物 联 网 中 ,大 多 数 情 况 下 ,机 器 都 是 拥有 
专门 的 用 途 , 因 此 其 业务 应 用 与 网 络 通信 紧 紧 地 绑 在 一 起 。 由 于 网 络 层 的 认证 是 不 可 缺少 
的 ,那么 其 业务 层 的 认证 机 制 就 不 再 是 必需 的 ,而 是 可 以 根据 业务 由 谁 来 提供 和 业务 的 安全 
敏感 程度 来 设计 。 

2) 物 联网 中 的 加 密 机 制 

传统 的 网 络 层 加 密 机 制 是 逐 跳 加 密 , 即 信息 在 发 送 过 程 中 ,虽然 在 传输 过 程 中 是 加 密 
的 ,但 是 需要 不 断 地 在 每 个 经 过 的 节点 上 解密 和 加 密 , 即 在 每 个 节点 上 都 是 明文 的 。 而 传统 
的 业务 层 加 密 机 制 则 是 端 到 端的 , 即 信息 只 在 发 送 端 和 接收 端 才 是 明文 ,而 在 传输 的 过 程 中 
和 转发 节点 上 都 是 密 文 。 由 于 物 联网 中 网 络 连 接 和 业务 使 用 紧密 结合 ,那么 就 面临 到 底 使 
用 逐 跳 加 密 还 是 端 到 端 加密 的 选择 。 对 于 逐 跳 加 密 来 说 , 它 可 以 只 对 有 必要 受 保护 的 链接 
进行 加 密 , 并 且 由 于 逐 跳 加 密 在 网 络 层 进行 ,所 以 可 以 适用 于 所 有 业务 , 即 不 同 的 业务 可 以 
在 统一 的 物 联网 业务 平台 上 实施 安全 管理 ,从 而 做 到 安全 机 制 对 业务 的 透明 。 这 就 保证 了 
逐 跳 加 密 的 低 时 延 、 高 效率 、 低 成 本 .可 扩展 性 好 的 特点 。 但 是 ,因为 逐 跳 加 密 需要 在 各 传送 
节点 上 对 数据 进行 解密 ,所 以 各 节点 都 有 可 能 解读 被 加 密 消息 的 明文 ,因此 逐 跳 加 密 对 传输 
路 径 中 各 传送 节点 的 可 信任 度 要 求 很 高 。 而 对 于 端 到 端的 加 密 方式 来 说 , 它 可 以 根据 业务 
类 型 选择 不 同 的 安全 策略 ,从 而 为 高 安全 要 求 的 业务 提供 高 安全 等 级 的 保护 。 不 过 端 到 端 
的 加 密 不 能 对 消息 的 目的 地 址 进行 保护 ,因为 每 一 个 消息 所 经 过 的 节点 都 要 以 此 目的 地 址 
来 确定 如 何 传输 消息 。 这 就 导致 端 到 端 加 密 方式 不 能 掩盖 被 传输 消息 的 源 点 与 终点 ,并 容 
易 受到 对 通信 业务 进行 分 析 而 发 起 的 恶意 攻击 。 另 外 ,从 国家 政策 角度 来 说 , 端 到 端的 加 密 
也 无 法 满足 国家 合法 监听 政策 的 需求 。 由 这 些 分 析 可 知 , 对 一 些 安全 要 求 不 是 很 高 的 业务 ， 
在 网 络 能 够 提供 逐 跳 加 密 保护 的 前 提 下 ,业务 层 端 到 端的 加 密 需求 就 显得 并 不 重要 。 但 是 
对 于 高 安全 需求 的 业务 , 端 到 端的 加 密 仍然 是 其 首选 。 因 而 ,由 于 不 同 物 联 网 业务 对 安全 级 
别 的 要 求 不 同 , 可 以 将 业务 层 端 到 端 安全 作为 可 选项 。 


(3 物 联网 安全 体系 结构 


本 节 将 介绍 物 联网 安全 整体 结构 ,感知 等 层 安全 体系 结构 ,传输 层 安全 体系 结构 和 应 用 
层 安 全 体系 结构 。 


7.2.1 物 联 网 安全 整体 结构 


以 下 是 杨 弯 等 在 (信息 与 电脑 》 上 发 表 文章 * 物 联网 安全 架构 分 析 ” 的 选编 。 他 从 物 联 网 
感知 层 、 网 络 层 和 应 用 层 介绍 了 安全 架构 。 


1. 物 联 网 的 安全 架构 


中 国 移动 专家 王建 宙 认 为 , 物 联网 应 具备 三 个 特征 : 全 面 感知 .可 靠 传递 和 智能 处 理 。 
尽管 对 物 联网 概念 还 有 其 他 一 些 不 同 的 描述 ,但 内 涵 基本 相同 。 因 此 在 分 析 物 联网 的 安全 
性 时 ,也 相应 地 将 其 分 为 三 个 逻辑 层 , 即 感知 层 、 传 输 层 和 处 理 层 。 除 此 之 外 ,在 物 联 网 的 综 
合 应 用 方面 还 应 该 有 一 个 应 用 层 , 它 是 对 智能 处 理 后 的 信息 的 利用 。 在 某 些 框架 中 ,尽管 智 
能 处 理 与 应 用 层 都 可 能 被 作为 同一 逻辑 层 进行 处 理 , 但 从 信息 安全 的 角度 考虑 ,将 应 用 层 独 
立 出 来 更 容易 建立 安全 架构 。 物 联网 的 安全 架构 如 图 7-1 所 示 。 


应 用 层 |- | 【应 用 集成 | [解析 服务 | [ web 服务 | = 一 | 信息 应 用 安全 | 
云 计算 9 能 计算 
数据 控 气 | 。 | 并 行 计算 


中 间 件 


传输 层 5 一 移动 通信 网 | 计算 机 网 络 || 无 线 网 络 | | 信息 传输 安全 


传感器 网 关 || 传感器 网 关 IT 信息 采集 安全 
感知 层 = 感知 终端 | 于 一 = 
传感器 节点 |][ 传感器 节点 - 物理 安全 


图 7-1 物 联 网 的 安全 架构 


2. 感知 层 的 安全 架构 


在 感知 层 内 部 ,为 保障 感知 层 内 部 通信 安全 及 网 络 节点 之 间 的 数据 机 密 性 保护 传输 , 防 
止 非法 窃听 ,确保 非法 节点 接 人 ,需要 建立 密 钥 管理 机 制 及 数据 机 密 性 和 认证 机 制 。 一 些 重 
要 传 感 网 需要 对 可 能 被 敌手 控制 的 节点 行为 进行 评估 ,以 降低 入 侵 后 的 危害 ,建立 信息 评估 
机 制 。 另 外 ,几乎 所 有 传 感 网 内 部 都 需要 不 同 的 安全 路 由 技术 。 


3. 传输 层 的 安全 构架 


传输 层 安 全 主要 有 以 下 两 个 方面 。 

1) 物 联 网 架构 , 接 入 方式 和 设备 的 安全 

物 联 网 的 接 入 层 将 采用 如 移动 互联 网 有线 网 .Wi-Fi、WiMAX 等 各 种 无 线 接 人 技术 。 
接 人 层 的 异 构 性 使 得 如 何 为 终端 提供 移动 性 管理 以 保证 异 构 网 络 间 节点 漫游 和 服务 的 无 颖 
移动 成 为 研究 的 重点 ,其 中 安全 问题 的 解决 将 得 益 于 切换 技术 和 位 置 管理 技术 的 进一步 研 
究 。 另 外 , 物 联 网 接 人 方式 将 主要 依靠 移动 通信 网 络 。 移 动 网 络 中 移动 站 与 固定 网 络 端 之 
间 的 所 有 通信 都 是 通过 无 线 接口 来 传输 的 。 然 而 无 线 接口 是 开放 的 ,任何 使 用 无 线 设 备 的 
个 体 均 可 以 通过 窃听 无 线 信 道 而 获得 其 中 传输 的 信息 ,甚至 可 以 修改 、 插 入、 删除 或 重 传 无 
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线 接口 中 传输 的 消息 ,达到 假冒 移动 用 户 身份 以 欺骗 网 络 端 的 目的 。 因 此 移动 通信 和 网络 存 
在 无 线 窃听 、 身 份 假冒 和 数据 算 改 等 不 安全 的 因素 。 

2) 数据 传输 的 网 络 安全 

物 联网 的 网 络 核心 层 主要 依赖 于 传统 网 络 技术 ,其 面临 的 最 大 问题 是 现 有 的 网 络 地 址 
空间 短缺 。IPv6 采纳 IPsec 协议 ,在 IP 层 上 对 数据 包 进 行 了 高 强度 的 安全 处 理 , 提 供 数据 
源 地 址 验证 、 无 连接 数据 完整 性 ,数据 机 密 性 、 抗 重播 和 有 限 业 务 流 加 密 等 安全 服务 。 但 
IPv4 网 络 环 境 中 大 部 分 安全 风险 在 IPv6 网 络 环境 中 仍 将 存在 ,而 且 某 些 安全 风险 随 着 
IPv6 新 特性 的 引入 将 变 得 更 加 严重 。 首 先 , 拒 绝 服务 攻击 (DDoS) 等 异常 流量 攻击 仍然 独 
狐 , 甚 至 更 为 严重 。 其 次 ,针对 域名 服务 器 (DNS) 的 攻击 仍 将 继续 存在 ,而 且 在 IPv6 网 络 中 
提供 域名 服务 的 DNS 更 容易 成 为 黑客 攻击 的 目标 。 最 后 ,IPv6 协议 作为 网 络 层 的 协议 , 仅 
对 网 络 层 安全 有 影响 ,其 他 各 层 的 安全 风险 在 IPv6 网 络 中 仍 将 保持 不 变 。 


4. 应 用 层 的 安全 构架 


物 联网 应 用 是 信息 技术 与 行业 专业 技术 紧密 结合 的 产物 。 物 联网 应 用 层 充分 体现 物 联 
网 智能 处 理 的 特点 ,其 涉及 业务 管理 ,中 间 件 ,数据 挖掘 等 技术 。 考 虑 到 物 联网 涉及 多 领域 
多 行业 ,因此 广 域 范围 的 海量 数据 信息 处 理 和 业务 控制 策略 将 在 安全 性 和 可 靠 性 方面 面临 
巨大 挑战 ,特别 是 业务 控制 ,管理 和 认证 机 制 . 中 间 件 以 及 隐私 保护 等 安全 问题 显得 尤为 
突出 。 


7.2.2 感知 层 安全 体系 结构 
1. 感知 层 工作 原理 和 安全 缺陷 


1) 工作 原理 

物 联网 感知 层 解决 的 是 物理 世界 和 人 类 世界 的 数据 获取 问题 ,包括 各 类 物理 量 、 音 频 、 
视频 数据 \ 标 识 数 据 。 感 知 层 位 于 物 联 网 三 层 架 构 的 最 低层 ,是 物 联网 发 展 和 应 用 的 基础 ， 
具有 物 联 网 全 面 感知 的 核心 能 力 。 作 为 物 联网 的 最 基本 一 层 , 感 知 层 具 有 十 分 重要 的 作用 。 
感知 层 一 般 包 括 数据 采集 和 数据 短 距 离 传输 两 部 分 , 即 首先 通过 传感器 .摄像 头等 设备 采集 
外 部 物理 世界 的 数据 ,通过 工业 现场 总 线 、 红 外 、Wifi 蓝牙 .ZigBee 等 短 距 离 有 线 或 无 线 传 
输 技术 进行 协同 工作 或 者 传递 数据 到 网 关 设 备 。 也 可 以 只 有 数据 的 短 距离 传输 这 一 部 
分 ,特别 是 在 仅 传 递 物品 的 识别 码 的 情况 下 。 而 实际 上 ,感知 层 这 个 部 分 有 时 很 难 明确 
区 分 开 。 

2) 安全 缺陷 

物 联网 在 感知 层 采集 数据 时 ,其 信息 传输 方式 基本 是 无 线 网 络 传输 ,对 这 种 暴露 在 公共 
场所 中 的 信号 ,如 果 缺 乏 有 效 保护 措施 的 话 , 很 容易 被 非法 监听 、 窍 取 、 干 扰 。 而 且 在 物 联网 
的 应 用 中 ,大 量 使 用 传感器 来 标识 物品 设备 ,由 人 或 计算 机 远程 控制 来 完成 一 些 复杂 危险 
或 高 精度 的 操作 。 在 此 种 情况 下 , 物 联 网 中 的 这 些 物品 设备 大 多 都 是 部 署 在 无 人 监控 的 地 
点 完成 任务 的 ,那么 攻击 者 就 会 比较 容易 地 接触 到 这 些 设备 ,从 而 可 以 对 这 些 设备 或 其 承载 
的 传感器 进行 破坏 ,甚至 通过 破译 传感器 通信 协议 ,对 它们 进行 非法 操控 。 
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3) 实际 问题 

感知 信息 要 通过 一 个 或 多 个 与 外 界 网 连接 的 传 感 节点 , 称 为 网 关节 点 ,所 有 与 传 感 网 内 
部 节点 的 通信 都 需要 经 过 网 关节 点 与 外 界 联系 。 因 此 感知 层 所 面临 的 安全 问题 主要 表现 为 
以 下 几 个 方面 : 现 有 的 互联 网 具备 相对 完整 的 安全 保护 能 力 ,但 是 由 于 互联 网 中 存在 数量 
庞大 的 节点 ,将 会 容易 导致 大 量 的 数据 同时 发 送 ,使 得 传 感 网 的 节点 受到 来 自 于 网 络 的 拒绝 
服务 攻击 ; 传 感 网 的 网 关节 点 被 敌手 控制 ,安全 性 全 部 丢失 ; 传 感 网 的 普通 节点 被 敌手 捕 
获 ,为 人 侵 者 对 物 联网 发 起 攻击 提供 了 可 能 性 ; 接 人 到 物 联 网 的 超大 量 传 感 节点 的 标识 、 识 
别 . 认 证 和 控制 问题 。 


2. 感知 层 的 安全 策略 


(1) 密 钥 管理 。 密 钥 管理 系统 是 安全 的 基础 ,是 实现 感知 信息 保护 的 手段 之 一 。 

(2) 鉴别 机 制 。 物 联网 感知 层 鉴 权 技术 包括 网 络 内 部 节点 之 间 的 鉴别 和 消息 鉴别 。 

(3) 安全 路 由 机 制 。 安 全 路 由 机 制 以 保证 网 络 在 受到 威胁 和 攻击 时 , 仍 能 进行 正确 的 
路 由 发 现 、 构 建 和 维护 。 

(4) 访问 控制 机 制 。 访 问 控制 机 制 以 控制 用 户 对 物 联网 感知 层 的 访问 为 目的 ,能 防止 
未 授权 用 户 访问 感知 层 的 节点 和 数据 。 

(5) 安全 数据 融合 机 制 。 以 保证 信息 保密 性 、 信 息 传输 安全 、 信 息 聚 合 的 准确 性 为 目的 。 

(6) 容 侵 容错 机 制 。 容 侵 框 架 主 要 包括 判定 疑似 恶意 节点 、 针 对 疑似 恶意 节点 的 容 侵 
机 制 、 通 过 节点 协作 对 恶意 节点 做 出 处 理 决定 。 


7.2.3 传输 层 安全 体系 结构 
1. 传输 层 工作 原理 和 安全 缺陷 


1) 工作 原理 

传输 层 的 功能 是 信息 传递 和 处 理 。 在 物 联 网 中 ,感知 层 感知 到 的 数据 能 够 被 传输 层 无 
障碍 .高 安全 性 、 高 可 靠 性 地 进行 传送 。 传 输 层 解决 的 是 感知 层 所 获得 的 数据 在 一 定 范围 
内 ,尤其 是 远 距 离 的 传输 问题 。 同 时 , 物 联网 传输 层 将 承担 比 现 有 网 络 大 的 数据 量 和 面临 更 
高 的 服务 质量 要 求 ,所 以 现 有 网 络 尚 不 能 满足 物 联 的 需求 ,这 就 意味 着 物 联网 需要 对 现 有 网 
络 进行 融合 和 扩展 ,利用 新 技术 以 实现 更 加 广泛 和 高 效 的 互联 功能 。 

2) 安全 缺陷 

物 联 网 中 的 感知 层 所 获取 的 感知 信息 通常 由 无 线 网 络 传输 至 系统 , 相 比 TCP/IP 网 络 ， 
恶意 程序 在 无 线 网 络 环境 和 传 感 网 络 环境 中 有 无 穷 多 的 入 口 。 对 这 种 暴露 在 公开 场所 之 中 
的 信息 ,如 果 没 作 合适 保护 的 话 更 容易 被 人 侵 , 如 类 似 于 蠕虫 这 样 的 恶意 代码 一 旦 人 侵 成 
功 , 其 传播 性 .隐蔽 性 和 破坏 性 等 更 加 难以 防范 ,在 这 样 的 环境 中 检测 和 清除 这 样 的 恶意 代 
码 将 很 困难 ,这 将 直接 影响 到 物 联 网 体系 的 安全 。 物 联网 建立 在 互联 网 的 基础 上 ,对 互联 网 
的 依赖 性 很 高 ,在 互联 网 中 存在 的 危害 信息 安全 的 因素 在 一 定 程度 上 同样 也 会 造成 对 物 联 
网 的 危害 。 随 着 互联 网 的 发 展 ,病毒 攻击 、 黑 客人 侵 、 非 法 授权 访问 均 会 对 互联 网 用 户 造成 
损害 。 物 联网 中 感知 层 的 传感器 设备 数量 庞大 ,所 采集 的 数据 格式 多 种 多 样 ,而 且 其 数据 信 
息 具 有 海量 、 多 源 和 异 构 等 特点 ,因此 在 传输 层 会 带 来 更 加 复杂 的 网 络 安全 问题 。 初 步 分 析 


物 联 网 安全 教程 


认为 , 物 联 网 传输 层 将 会 遇 到 下 列 安全 挑战 : DoS 攻击 .DDoS 攻击 ; 假冒 攻击 中 间 人 攻击 
等 ; 跨 异 构 网 络 的 网 络 攻击 。 

3) 实际 问题 

传输 层 很 可 能 面临 非 授权 节点 非法 接 人 的 问题 ,如 果 传 输 层 不 采取 网 络 接 人 控制 措施 ， 
就 很 可 能 被 非法 接 人 ,其 结果 可 能 是 传输 层 负担 加 重 或 者 传输 错误 信息 。 互 联网 或 者 下 一 
代 网 络 将 是 物 联 网 网 络 层 的 核心 载体 ,互联 网 遇 到 的 各 种 攻击 仍然 存在 ,甚至 更 多 ,需要 有 
更 好 的 安全 防护 措施 和 抗 毁 容 灾 机 制 。 物 联网 终端 设备 处 理 能 力 和 网 络 能 力 差 异 巨大 ,应 
对 网 络 攻击 的 防护 能 力也 有 很 大 差别 ,传统 互联 网 安全 方案 难以 满足 需求 ,并 且 也 很 难 采用 
通用 的 安全 方案 解决 所 有 问题 ,必须 针对 具体 需求 而 制定 多 种 安全 方案 。 


2. 传输 层 的 安全 策略 


(1) IPSec(IPSecurity)。IPSec 是 一 个 开放 式 的 IP 网 络 安全 标准 , 它 在 TCP 协议 栈 中 
间 位 置 的 网 络 层 实现 ,可 为 上 层 协 议 无 颖 地 提供 安全 保障 ,高 层 的 应 用 协议 可 以 透明 地 使 用 
这 些 安全 服务 ,而 不 必 设计 自己 的 安全 机 制 。 接 收 者 能 获取 发 送 的 真正 内 容 , 而 非 授 权 的 接 
收 者 无 法 获知 数据 的 真正 内 容 。 

(2) 防火 墙 。 用 于 保护 内 部 网 络 安全 。 包 括 访问 控制 .内 容 过 滤 .地 址 转换 。 

(3) 隧道 服务 。 其 原理 是 在 消息 的 发 起 端 对 数据 报 文 进行 加 密封 装 ,然后 通过 在 互联 
网 中 建立 的 数据 通道 将 其 传输 到 消息 的 接收 端 ,接收 端 再 对 包 进 行 解 封装 ,最 后 得 到 原始 数 
据 包 。 

(4) 数字 签名 与 数字 证 书 。 不 仅 可 以 保护 私有 信息 ,也 可 以 确保 网 上 传递 信息 的 机 密 
完整 性 。 

(5) 身份 识别 与 访问 控制 。 身 份 识别 与 访问 控制 通常 联合 使 用 ,访问 控制 机 制 确 定 权 
限 和 授予 访问 权 。 


7.2.4 ”应 用 层 安全 体系 结构 
1. 应 用 层 的 工作 原理 和 安全 缺陷 


1) 工作 原理 

物 联网 应 用 层 的 主要 功能 是 把 感知 和 传输 来 的 信息 进行 分 析 和 处 理 , 做 出 正确 的 控制 
和 决策 ,实现 智能 化 的 管理 ,应 用 和 服务 。 这 一 层 解决 的 是 信息 处 理 和 人 机 界面 的 问题 。 具 
体 地 讲 ,应 用 层 将 网 络 层 传输 来 的 数据 通过 各 类 信息 系统 进行 处 理 , 并 通过 各 种 设备 与 人 进 
行 交 互 。 应 用 程序 层 进行 数据 处 理 , 完 成 跨行 业 、 跨 应 用 、 跨 系统 之 间 的 信息 协同 .共享 、 互 
通 的 功能 。 

2) 安全 缺陷 

物 联网 应 用 层 的 重要 特征 是 智能 处 理 ,包括 如 何 从 网 络 中 接收 信息 ,并 判断 哪些 信息 是 
真正 有 用 的 信息 ,哪些 是 垃圾 信息 甚至 是 恶意 信息 。 在 应 用 层 最 使 人 困扰 的 是 系统 本 身 存 
在 的 安全 漏洞 。 实 际 上 ,智能 处 理 就 是 按照 一 定 的 规则 、 定 义 或 者 计算 模型 ,对 数据 信息 进 
行 过 滤 和 判断 的 过 程 。 在 这 个 处 理 过 程 中 , 除 病毒 .蠕虫 之 外 ,攻击 者 还 会 利用 系统 漏洞 实 
施 拒绝 服务 攻击 、 分 布 式 拒绝 服务 攻击 .木马 程序 .间谍 软件 .垃圾 邮件 以 及 网 络 钓 鱼 等 攻 
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击 。 系 统 漏洞 是 指 系统 在 逻辑 设计 上 的 缺陷 或 错误 ,这 个 缺陷 或 错误 可 以 被 攻击 者 利用 , 通 
过 植 人 木马 、 病 毒 等 方式 来 攻击 或 控制 整个 系统 ,从 而 窃取 重要 资料 和 信息 ,甚至 破坏 系统 。 
3) 实际 问题 
漏洞 会 影响 到 的 范围 很 大 ,包括 系统 本 身 及 其 支撑 软件 ,网 络 客户 和 服务 器 软件 ,网 络 
路 由 器 和 安全 防火 墙 等 。 在 这 些 不 同 的 软 硬 件 设备 中 都 可 能 存在 不 同 的 安全 漏洞 问题 。 在 
不 同 种 类 的 软件 、 硬 件 设备 , 同 种 设备 的 不 同 版 本 之 间 ,由 不 同 设备 构成 的 不 同系 统 之 间 ,以 
及 同 种 系统 在 不 同 的 设置 条 件 下 ,都 会 存在 各 自 不 同 的 安全 漏洞 问题 。 


2. 应 用 层 的 安全 策略 


(1) 服务 安全 。 包 括 外 部 服务 安全 、 传 输 级 安全 、 消 息 级 安全 \ 数 据 级 安全 和 身份 管理 
几 个 方面 的 策略 。 

(2) 中 间 件 安全 。 包 括 数据 传输 .身份 认证 和 授权 管理 方面 的 策略 。 

(3) 数据 安全 。 包 括 数据 加 密 、 数 据 保护 和 数据 备份 方面 的 策略 。 

(4) 云 安全 。 主 要 是 访问 控制 与 认证 策略 。 


C3 物 联网 安全 技术 方法 


根据 物 联网 在 信息 安全 方面 的 特点 及 面临 的 威胁 ,采取 适当 的 技术 防范 措施 是 必然 的 。 
解决 物 联网 的 信息 安全 问题 不 仅 需 要 技术 手段 ,还 需要 完善 物 联网 信息 安全 管理 机 制 。 本 
节 将 概述 物 联网 安全 技术 和 物 联网 安全 管理 。 


7.3.1 物 联网 安全 技术 


作为 一 种 多 网 络 融合 的 技术 , 物 联 网 安全 涉及 各 个 网 络 的 不 同 层次 ,在 这 些 独 立 的 网 络 
中 已 实际 应 用 了 多 种 安全 技术 ,特别 是 移动 通信 网 和 互联 网 的 安全 。 


1. 密 钥 管理 机 制 


1) 密 钥 管 理 

无 线 传感器 网 络 和 感知 节点 由 于 计算 资源 的 限制 ,对 密 钥 系统 提出 了 更 多 的 要 求 , 因 
此 , 物 联网 密 钥 管理 系统 面临 两 个 主要 问题 : 一 是 如 何 构建 一 个 贯穿 多 个 网 络 的 统一 密 钥 
管理 系统 ,并 与 物 联网 的 体系 结构 相 适 应 ; 二 是 如 何 解决 传 感 网 的 密 钥 管理 问题 ,如 密 钥 的 
分 配 、 更 新 和 组 播 等 问题 。 实 现 统一 的 密 钥 管 理 系统 可 以 采用 两 种 方式 : 一 是 以 互联 网 为 
中 心 的 集中 式 管理 方式 。 由 互联 网 的 密 钥 分 配 中 心 负责 整个 物 联网 的 密 钥 管 理 ,一 旦 传 感 
器 网 络 接 人 互联 网 ,通过 密 钥 中 心 与 传感器 网 络 汇聚 点 进行 交互 ,实现 对 网 络 中 节点 的 密 钥 
管理 。 二 是 以 各 自 网 络 为 中 心 的 分 布 式 管理 方式 。 在 此 模式 下 , 传 感 网 环境 中 对 汇聚 点 的 
要 求 就 比较 高 。 尽 管 可 以 在 传 感 网 中 采用 簇 头 选择 方法 ,推选 簇 头 ,形成 层次 式 网 络 结构 ， 
每 个 节点 与 相应 的 簇 头 通 信 , 簇 头 间 以 及 簇 头 与 汇聚 节点 之 间 进 行 密 钥 的 协商 ,但 对 多 跳 通 
信 的 边缘 节点 ,以 及 由 于 簇 头 选择 算法 和 簇 头 本 身 的 能 量 消耗 ,使 传 感 网 的 密 钥 管 理 成 为 解 
决 问题 的 关键 。 
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2) 密 钥 管理 的 要 求 

无 线 传感器 网 络 的 密 钥 管理 系统 的 设计 在 很 大 程度 上 受到 其 自身 特征 的 限制 ,因此 在 
设计 需求 上 与 有 线 网 络 和 传统 的 资源 不 受 限 制 的 无 线 网 络 有 所 不 同 , 特 别 是 要 充分 考虑 到 
无 线 传感器 网 络 传 感 节点 的 限制 和 网 络 组 网 与 路 由 的 特征 。 它 的 安全 需求 主要 体现 在 : 

(1) 密 钥 生成 或 更 新 算法 的 安全 性 。 利 用 该 算法 生成 的 密 钥 应 具备 一 定 的 安全 强度 ， 
不 能 被 网 络 攻击 者 轻易 破解 或 者 花 很 小 的 代价 破解 。 即 加 密 后 保障 数据 包 的 机 密 性 。 

(2) 前 向 私密 性 。 对 中 途 退 出 传感器 网 络 或 者 被 俘获 的 恶意 节点 ,在 周期 性 的 密 钥 更 
新 或 者 撤销 后 无 法 再 利用 先前 所 获知 的 密 钥 信息 生成 合法 的 密 钥 继续 参与 网 络 通信 , 即 无 
法 参加 与 报 文 解密 或 者 生成 有 效 的 可 认证 的 报 文 。 

(3) 后 向 私密 性 和 可 扩展 性 。 新 加 入 传感器 网 络 的 合法 节点 可 利用 新 分 发 或 者 周期 性 
更 新 的 密 钥 参与 网 络 的 正常 通信 , 即 进行 报 文 的 加 解密 和 认证 行为 等 。 而 且 能 够 保障 网 络 
是 可 扩展 的 , 即 允 许 大 量 新 节点 的 加 入 。 

(4) 抗 同谋 攻击 。 在 传感器 网 络 中 ,若干 节点 被 俘获 后 ,其 所 掌握 的 密 钥 信息 可 能 会 造 
成 网 络 局 部 范围 的 泄密 ,但 不 应 对 整个 网 络 的 运行 造成 破坏 性 或 损毁 性 的 后 果 , 即 密 钥 系 统 
要 具有 抗 同谋 攻击 。 

(5) 源 端 认证 性 和 新 鲜 性 。 源 端 认 证 要 求 发 送 方 身份 的 可 认证 性 和 消息 的 可 认证 性 ， 
即 任何 一 个 网 络 数据 包 都 能 通过 认证 和 追踪 寻找 到 其 发 送 源 , 且 是 不 可 否认 的 。 新 鲜 性 则 
保证 合法 的 节点 在 一 定 的 延迟 许可 内 能 收 到 所 需要 的 信息 。 新 鲜 性 除了 和 密 钥 管理 方案 紧 
密 相 关外 ,与 传感器 网 络 的 时 间 同 步 技术 和 路 由 算法 也 有 很 大 的 关联 。 


2. 数据 处 理 与 隐私 性 


1) 数据 处 理 

物 联网 的 数据 要 经 过 信息 感知 获取 、 汇 聚 、 融 合 \ 传 输 、 存 储 ,挖掘 、 决 策 和 控制 等 处 理 
流程 ,而 末端 的 感知 网 络 几乎 要 涉及 上 述 信息 处 理 的 全 过 程 ,只 是 由 于 传 感 节点 与 汇聚 点 的 
资源 限制 ,在 信息 的 挖掘 和 决策 方面 不 占 主要 的 位 置 。 物 联网 应 用 不 仅 面临 信息 采集 的 安 
全 性 ,也 要 考虑 到 信息 传送 的 私密 性 ,要 求 信息 不 能 被 算 改 和 非 授权 用 户 使 用 ,同时 还 要 考 
虑 到 网 络 的 可 靠 、 可 信和 安全 。 物 联网 能 否 大 规模 推广 应 用 ,很 大 程度 上 取决 于 其 是 否 能 够 
保障 用 户 数据 和 隐私 的 安全 。 就 传 感 网 而 言 ,在 信息 的 感知 采集 阶段 就 要 进行 相关 的 安全 
处 理 , 如 对 RFID 采集 的 信息 进行 轻 量 级 的 加 密 处 理 后 ,再 传送 到 汇聚 节点 。 这 里 要 关注 的 
是 对 光学 标签 的 信息 采集 处 理 与 安全 ,作为 感知 端的 物体 身份 标识 ,光学 标签 显示 了 独特 的 
优势 ,而 虚拟 光学 的 加 密 解密 技术 为 基于 光学 标签 的 身份 标识 提供 了 手段 ,基于 软件 的 虚拟 
光学 密码 系统 由 于 可 以 在 光波 的 多 个 维度 进行 信息 的 加 密 处 理 ,具有 比 一 般 传统 的 对 称 加 
密 系统 有 更 高 的 安全 性 ,数学 模型 的 建立 和 软件 技术 的 发 展 极 大 地 推动 了 该 领域 的 研究 和 
应 用 推广 。 

2) 隐私 保护 

数据 处 理 过 程 中 涉及 基于 位 置 的 服务 与 在 信息 处 理 过 程 中 的 隐私 保护 问题 。 基 于 位 置 
的 服务 是 物 联网 提供 的 基本 功能 ,是 定位 、 电 子 地 图 、 基 于 位 置 的 数据 挖掘 和 发 现 、 自 适应 表 
达 等 技术 的 融合 。 定 位 技术 目前 主要 有 GPS 定位 、 基 于 手机 的 定位 、 无 线 传 感 网 定位 等 。 
无 线 传 感 网 的 定位 主要 是 射频 识别 ,蓝牙 及 ZigBee 等 。 基 于 位 置 的 服务 面临 严峻 的 隐私 保 
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护 问 题 ,这 既是 安全 问题 ,也 是 法 律 问题 。 欧 洲 通过 了 《隐私 与 电子 通信 法 》, 对 隐私 保护 问 
题 给 出 了 明确 的 法 律 规定 。 基 于 位 置 服务 中 的 隐私 内 容 涉 及 两 个 方面 : 一 是 位 置 隐私 ,二 
是 查询 隐私 。 位 置 隐私 中 的 位 置 指 用 户 过 去 或 现在 的 位 置 ,而 查询 隐私 指 敏感 信息 的 查询 
与 挖掘, 如 某 用 户 经 常 查询 某 区 域 的 餐馆 或 医院 ,可 以 分 析 该 用 户 的 居住 位 置 .收入 状况 、 生 
活 行为 、 健 康 状 况 等 敏感 信息 ,造成 个 人 隐私 信息 的 泄露 ,查询 隐私 就 是 数据 处 理 过 程 中 的 
隐私 保护 问题 。 所 以 ,将 面临 一 个 困难 的 选择 ,一 方面 希望 提供 尽 可 能 精确 的 位 置 服务 , 另 
一 方面 又 希望 个 人 的 隐私 得 到 保护 。 这 就 需要 在 技术 上 给 予 保证 。 目 前 的 隐私 保护 方法 主 
要 有 位 置 伪 装 、 时 空 匿名 和 空间 加 密 等 。 


3. 安全 路 由 协议 


物 联网 的 路 由 要 跨越 多 类 网 络 , 有 基于 IP 地 址 的 互联 网 路 由 协议 、 基 于 标识 的 移动 通 
信和 网 和 传 感 网 的 路 由 算法 ,因此 至 少 要 解决 两 个 问题 : 一 是 多 网 融合 的 路 由 问题 ; 二 是 传 
感 网 的 路 由 问题 。 前 者 可 以 考虑 将 身份 标识 映射 成 类 似 的 IP 地 址 ,实现 基于 地 址 的 统一 路 
由 体系 ; 后 者 是 由 于 传 感 网 的 计算 资源 的 局 限 性 和 易 受 到 攻击 的 特点 ,要 设计 抗 攻 击 的 安 
全 路 由 算法 。 目 前 ,国内 外 学 者 提出 了 多 种 无 线 传感器 网 络 路 由 协议 ,这 些 路 由 协议 最 初 的 
设计 目标 通常 是 以 最 小 的 通信 、 计 算 、 存 储 开销 完成 节点 间 数 据 传 输 ,但 是 这 些 路 由 协议 大 
都 没有 考虑 到 安全 问题 。 实 际 上 由 于 无 线 传感器 节点 电量 有 限 、 计 算 能 力 有 限 、 存 储 容量 有 
限 以 及 部 署 时 外 等 特点 ,使 得 它 极 易 受到 各 类 攻击 。 

无 线 传感器 网 络 路 由 协议 常 受到 的 攻击 主要 有 以 下 几 类 : 虚假 路 由 信息 攻击 、 选 择 性 
转发 攻击 ,污水 池 攻 击 女巫 攻击 、. 虫 洞 攻 击 、Hello 洪 泛 攻击 、 确 认 攻 击 等 。 针 对 无 线 传 感 
器 网 络 中 数据 传送 的 特点 ,目前 已 提出 许多 较为 有 效 的 路 由 技术 。 按 路 由 算法 的 实现 方法 
划分 ,有 洪 泛 式 路 由 、 以 数据 为 中 心 的 路 由 、 层 次 式 路 由 和 基于 位 置信 息 的 路 由 等 。 


4. 认证 与 访问 控制 


1) 认证 技术 

认证 指使 用 者 采用 某 种 方式 来 证明 ”自己 确实 是 自己 宣称 的 某 和 人 。 在 物 联网 的 认证 过 
程 中 , 传 感 网 的 认证 机 制 是 重要 的 部 分 ,无 线 传感器 网 络 中 的 认证 技术 主要 包括 基于 轻 量 级 
公 钥 的 认证 技术 、 预 共享 密 钥 的 认证 技术 、 随 机 密 钥 预 分 布 的 认证 技术 、 利 用 辅助 信息 的 认 
证 、 基 于 单 向 散 列 函数 的 认证 等 。 

(1) 基于 轻 量 级 公 钥 算法 的 认证 技术 。 鉴 于 经 典 的 公 钥 算法 需要 高 计算 量 ,在 资源 有 
限 的 无 线 传感器 网 络 中 不 具有 可 操作 性 ,当前 有 一 些 研究 正 致力 于 对 公 钥 算法 进行 优化 设 
计 , 使 其 能 适应 于 无 线 传感器 网 络 ,但 在 能 耗 和 资源 方面 还 存在 很 大 的 改进 空间 ,如 基于 
RSA 公 钥 算法 的 TinyPK 认证 方案 ,以 及 基于 身份 标识 的 认证 算法 等 。 

(2) 基于 预 共享 密 钥 的 认证 技术 。SNEP 方案 中 提出 两 种 配置 方法 : 一 是 节点 之 间 的 
共享 密 钥 ; 二 是 每 个 节点 和 基站 之 间 的 共享 密 钥 。 这 类 方案 使 用 每 对 节点 之 间 共 享 一 个 主 
密 钥 ,可 以 在 任何 一 对 节点 之 间 建 立 安全 通信 。 缺 点 表现 为 扩展 性 和 抗 捕获 能 力 较 差 ,任意 
一 节点 被 俘获 后 就 会 暴露 密 钥 信息 ,进而 导致 全 网 络 瘫痪 。 

(3) 基于 单 向 散 列 函数 的 认证 方法 。 该 类 方法 主要 用 在 广播 认证 中 ,由 单 向 散 列 函数 
生成 一 个 密 钥 链 ,利用 单 向 散 列 函数 的 不 可 逆 性 ,保证 密 钥 不 可 预测 。 通 过 某 种 方式 依次 公 
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布 密 钥 链 中 的 密 钥 , 可 以 对 消息 进行 认证 。 目 前 基于 单 向 散 列 函数 的 广播 认证 方法 主要 是 
对 pTESLA 协议 的 改进 。pTESLA 协议 以 TESLA 协议 为 基础 ,对 密 钥 更 新 过 程 、 初 始 认 
证 过 程 进 行 了 改进 ,使 其 能 够 在 无 线 传感器 网 络 中 有 效 实施 。 

2) 访问 控制 

访问 控制 是 对 用 户 合 法 使 用 资源 的 认证 和 控制 ,目前 访问 控制 主要 是 基于 角色 的 访问 
控制 机 制 (RBAC) 及 其 扩展 模型 。RBAC 机 制 主要 由 Sandhu 于 1996 年 提出 的 基本 模型 
RBAC96 构成 ,一 个 用 户 先 由 系统 分 配 一 个 角色 ,如 管理 员 普通 用 户 等 ,登录 系统 后 ,根据 
用 户 的 角色 所 设置 的 访问 策略 实现 对 资源 的 访问 ,显然 ,同样 的 角色 可 以 访问 同样 的 资源 。 
RBAC 机 制 是 基于 互联 网 的 OA 系统 ,银行 系统 、 网 上 商店 等 系统 的 访问 控制 方法 ,是 基于 
用 户 的 。 对 物 联网 而 言 , 末 端 是 感知 网 络 , 可 能 是 一 个 感知 节点 或 一 个 物体 。 采 用 用 户 角 色 
的 形式 进行 资源 的 控制 显得 不 够 灵活 ,一 是 本 身 基于 角色 的 访问 控制 在 分 布 式 的 网 络 环境 
中 已 呈现 出 不 相 适 应 的 地 方 ,如 对 具有 了 时间 约束 资源 的 访问 控制 ,访问 控制 的 多 层次 适应 性 
等 方面 需要 进一步 探讨 ; 二 是 节点 不 是 用 户 , 是 各 类 传感器 或 其 他 设备 , 且 种 类 繁多 ,基于 
角色 的 访问 控制 机 制 中 角色 类 型 无 法 一 一 对 应 这 些 节点 ,因此 使 RBAC 机 制 难于 实现 ; 三 
是 物 联网 表现 的 是 信息 的 感知 互动 过 程 ,包含 了 信息 的 处 理 \, 决 策 和 控制 等 过 程 ,特别 是 反 
向 控制 是 物 物 互 连 的 特征 之 一 ,资源 的 访问 呈现 动态 性 和 多 层次 性 ,而 RBAC 机 制 中 一 旦 
用 户 被 指定 为 某 种 角色 ,他 的 可 访问 资源 就 相对 固定 了 。 所 以 ,寻求 新 的 访问 控制 机 制 是 物 
联网 ,也 是 互联 网 值得 研究 的 问题 。 基 于 属性 的 访问 控制 (ABAC) 是 近 几 年 研究 的 热点 ,如 
果 将 角色 映射 成 用 户 的 属性 ,可 以 构成 ABAC 与 RBAC 的 对 等 关系 ,而 属性 的 增加 相对 简 
单 , 同 时 基于 属性 的 加 密 算法 可 以 使 ABAC 得 以 实现 。ABAC 方法 的 问题 是 对 较 少 的 属性 
来 说 ,加 密 解密 的 效率 较 高 ,但 随 着 属性 数量 的 增加 ,加 密 的 密 文 长 度 增加 ,使 算法 的 实用 性 
受到 限制 ,目前 有 两 个 发 展 方向 : 基于 密 钥 策略 和 基于 密 文 策略 ,其 目标 就 是 改善 基于 属性 
的 加 密 算法 的 性 能 。 


5. 入 侵 检 测 与 容 侵 容错 技术 


容 侵 就 是 指 在 网 络 中 存在 恶意 入 侵 的 情况 下 ,网 络 仍然 能 够 正常 地 运行 。 无 线 传感器 
网 络 的 安全 隐患 在 于 网 络 部 署 区 域 的 开放 特性 以 及 无 线 电 网 络 的 广播 特性 ,攻击 者 往往 利 
用 这 两 个 特性 ,通过 阻碍 网 络 中 节点 的 正常 工作 ,进而 破坏 整个 传感器 网 络 的 运行 ,降低 网 
络 的 可 用 性 。 无 人 值守 的 恶劣 环境 导致 无 线 传感器 网 络 缺 少 传统 网 络 中 物理 上 的 安全 , 传 
感 器 节点 很 容易 被 攻击 者 俘获 ,毁坏 或 妥协 。 现 阶段 无 线 传感器 网 络 的 容 侵 技术 主要 集中 
于 网 络 的 拓扑 容 侵 、 安 全 路 由 容 侵 以 及 数据 传输 过 程 中 的 容 侵 机 制 。 

无 线 传感器 网 络 可 用 性 的 另 一 个 要 求 是 网 络 的 容错 性 。 一 般 意 义 上 的 容错 性 是 指 在 
故障 存在 的 情况 下 系统 不 失效 ,仍然 能 够 正常 工作 的 特性 。 无 线 传感器 网 络 的 容错 性 指 
的 是 当 部 分 节点 或 链 路 失效 后 ,网 络 能 够 进行 传输 数据 的 恢复 或 者 网 络 结构 自 愈 ,从 而 
尽 可 能 减 小 节点 或 链 路 失效 对 无 线 传感器 网 络 功 能 的 影响 。 由 于 传感器 节点 在 能 量 、 存 
储 空间 、 计 算 能 力 和 通信 带宽 等 诸多 方面 都 受 限 , 而 且 通 常 工作 在 恶劣 的 环境 中 ,网 络 中 
的 传感器 节点 经 常会 出 现 失 效 的 状况 。 因 此 ,容错 性 成 为 无 线 传感器 网 络 中 一 个 重要 的 
设计 因素 。 


7.3.2 物 联 网 安全 管理 
1. 物 联网 安全 管理 的 概念 


物 联 网 安全 管理 是 指导 和 控制 组 织 的 关于 物 联 网 安全 风险 的 相互 协调 活动 ,关于 物 联 
网 安全 风险 的 指导 和 控制 活动 通常 包括 制定 物 联网 安全 方针 、 风 险 评 估 、 控 制 目标 与 方式 选 
择 、 风 险 控制 .安全 保证 等 。 

物 联网 安全 管理 体系 是 组 织 在 整体 或 特定 范围 内 建立 物 联 网 安全 方针 和 目标 ,以 及 完 
成 这 些 目标 所 用 方法 的 体系 。 它 是 基于 业务 风险 方法 来 建立 ` 实 施 . 运 行 ,监视 .评审 、 保 持 
和 改进 组 织 的 物 联网 安全 系统 。 

建立 健全 的 物 联网 安全 管理 体系 对 企业 的 安全 管理 工作 和 企业 的 发 展 意义 重大 。 首 
先 , 此 体系 的 建立 将 提高 员工 的 安全 意识 ,提升 物 联网 安全 管理 的 水 平 ,增强 组 织 抵御 灾难 
性 事件 的 能 力 。 其 次 ,通过 物 联网 安全 管理 体系 的 建设 ,可 有 效 提高 对 物 联 网 安全 风险 的 管 
控 能 力 , 通 过 与 等 级 保护 、 风 险 评 估 等 工作 接续 起 来 ,使 得 物 联网 安全 管理 更 加 科学 有 效 。 
最 后 , 物 联 网 安全 管理 体系 的 建立 将 使 得 企业 的 管理 水 平 与 国际 先进 水 平 接轨 ,从 而 成 长 为 
企业 向 国际 化 发 展 与 合作 的 有 力 支 撑 。 


2. 物 联网 安全 管理 体系 建设 思路 


物 联网 安全 管理 体系 是 一 个 系统 化 ,程序 化 和 文件 化 的 管理 体系 ,属于 风险 管理 的 范 
畴 ,体系 的 建立 需要 基于 系统 、 全 面 . 科 学 的 安全 风险 评估 。 该 体系 强调 预防 控制 为 主 的 思 
想 , 要 遵守 国家 有 关 信 息 安全 的 法 律 法 规 ,强调 全 过 程 和 动态 控制 ,本 着 控制 费用 与 风险 平 
衡 的 原则 ,合理 选择 安全 控制 方式 保护 组 织 所 拥有 的 关键 物 联网 资产 ,确保 物 联网 信息 的 保 
密 性 、 完 整 性 和 可 用 性 ,从 而 保持 组 织 的 竞争 优势 和 业务 运作 的 持续 性 。 建 立 物 联网 安全 管 
理 体系 一 般 要 经 过 以 下 几 个 主要 步骤 : 

(1) 物 联网 安全 管理 体系 策划 与 准备 。 策 划 与 准备 阶段 主要 是 做 好 建立 物 联网 安全 管 
理 体系 的 各 种 前 期 工作 。 内 容 包 括 教育 培训 ,拟定 计划 安全 管理 发 展 情况 调研 以 及 人 力 资 
源 的 配置 与 管理 。 

(2) 确定 物 联网 安全 管理 体系 适用 的 范围 。 物 联网 安全 管理 体系 的 范围 就 是 需要 重点 
进行 管理 的 安全 领域 。 组 织 需要 根据 自己 的 实际 情况 ,可 以 在 整个 组 织 范围 内 ,也 可 以 在 个 
别 部 门 或 领域 内 实施 。 在 本 阶段 ,应 将 组 织 划 分 成 不 同 的 物 联网 安全 控制 领域 ,这 样 做 易于 
组 织 对 有 不 同 需求 的 领域 进行 适当 的 物 联网 安全 管理 。 在 定义 适用 范围 时 ,应 重点 考虑 组 
织 的 适用 环境 .适用 人 员 、 现 有 IT 技术 、 现 有 物 联 网 资产 等 。 

(3) 现状 调查 与 风险 评估 。 依 据 有 关 信 息 安全 技术 与 管理 标准 ,对 物 联网 系统 及 由 其 
处 理 、 传 输 和 存储 的 信息 机 密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 调研 和 评价 ,评估 物 联网 
资产 面临 的 威胁 以 及 导致 安全 事件 发 生 的 可 能 性 ,并 结合 安全 事件 所 涉及 的 物 联 网 资产 价 
值 来 判断 安全 事件 一 旦 发 生 对 组 织造 成 的 影响 。 

(4) 建立 物 联网 安全 管理 框架 。 建 立 物 联网 安全 管理 体系 要 规划 和 建立 一 个 合理 的 物 
联网 安全 管理 框架 ,要 从 整体 和 全 局 的 视角 ,从 物 联网 系统 的 所 有 层面 进行 整体 安全 建设 ， 
从 物 联网 系统 本 身 出 发 ,根据 业务 性 质 、 组 织 特征 、 物 联网 资产 状况 和 技术 条 件 建立 物 联网 
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资产 清单 ,进行 风险 分 析 、 需 求 分 析 和 选择 安全 控制 ,准备 适用 性 声明 等 步骤 ,从 而 建立 安全 
体系 并 提出 安全 解决 方案 。 

(5) 物 联 网 安全 管理 体系 文件 编写 。 编 写 物 联网 安全 管理 体系 文件 是 建立 物 联网 安全 
管理 体系 的 基础 工作 ,也 是 一 个 组 织 实现 风险 控制 .评价 和 改进 物 联 网 安全 管理 体系 、 实 现 
持续 改进 不 可 缺少 的 依据 。 在 物 联网 安全 管理 体系 建立 的 文件 中 应 该 包含 安全 方针 文档 、 
适用 范围 文档 、 风 险 评 估 文 档 \ 实 施 与 控制 文档 、 适 用 性 声明 文档 。 

(6) 物 联 网 安全 管理 体系 的 运行 与 改进 。 物 联网 安全 管理 体系 文件 编制 完成 以 后 ,组 
织 应 按照 文件 的 控制 要 求 进行 审核 与 批准 并 发 布 实施 。 至 此 , 物 联网 安全 管理 体系 将 进入 
运行 阶段 。 在 此 期 间 , 组 织 应 加 强 运作 力度 ,充分 发 挥 体 系 本 身 的 各 项 功能 ,及 时 发 现 体 系 
策划 中 存在 的 问题 , 找 出 问题 根源 ,采取 纠正 措施 ,并 按照 更 改 控制 程序 要 求 对 体系 予以 更 
改 , 以 达到 进一步 完善 物 联网 安全 管理 体系 的 目的 。 

(7) 物 联网 安全 管理 体系 审核 。 体 系 审核 是 为 获得 审核 证 据 , 对 体系 进行 客观 的 评价 ， 
以 确定 满足 审核 准则 的 程度 所 进行 的 系统 的 、 独 立 的 并 形成 文件 的 检查 过 程 。 体 系 审核 包 
括 内 部 审核 和 外 部 审核 (第 三 方 审核 )。 内 部 审核 一 般 以 组 织 名 义 进行 ,可 作为 组 织 自我 合 
格 检查 的 基础 ; 外 部 审核 由 外 部 独立 的 组 织 进 行 ,可 以 提供 符合 要 求 ( 如 ISO/IEC 27001) 
的 认证 或 注册 。 物 联网 安全 管理 体系 的 建立 是 一 个 目标 倒 加 的 过 程 ,是 在 不 断 发 展 变化 的 
技术 环境 中 进行 的 ,是 一 个 动态 的 .闭环 的 风险 管理 过 程 。 要 想 获 得 有 效 的 成 果 , 需 要 从 评 
估 、 防 护 ,监管 .响应 到 恢复 ,这 些 都 需要 从 上 到 下 的 参与 和 重视 ,否则 只 能 是 流 于 形式 与 过 
程 , 起 不 到 真正 有 效 的 安全 控制 目的 和 作用 。 


3. 物 联网 安全 运行 管理 系统 架构 


物 联网 安全 运行 管理 系统 是 对 物 联 网 安全 管理 体系 的 实现 提供 技术 支撑 ,协助 在 物 联 
网 和 物 联网 系统 整个 生命 周期 中 实现 安全 管理 方面 人 、 技 术 和 流程 的 结合 。 在 物 联 网 安全 
管理 体系 的 PDCA 循环 中 ,为 其 计划 阶段 提供 风险 评估 和 安全 策略 功能 ,为 执行 阶段 提供 
安全 对 象 风险 管理 以 及 流程 管理 功能 ,为 检查 阶段 提供 系统 安全 监控 ,事件 审计 、 残 余 风 险 
评估 功能 ,为 改进 阶段 提供 安全 事件 管理 功能 。 物 联网 安全 运行 管理 系统 应 能 支持 分 布 式 
部 署 ,并 能 够 实现 分 安全 域 分 级 别管 理 。 应 能 提供 以 下 功能 : 

(1) 安全 策略 管理 。 包 括 安全 策略 发 布 .存储 ,修订 以 及 对 安全 策略 的 符合 性 检查 等 。 

(2) 安全 事件 管理 。 包 括 安全 事件 采集 、 过 滤 、 汇 聚 、 关 联 分 析 、 事 件 前 转 以 及 安全 事件 
统计 分 析 等 。 安 全 预警 管理 包括 漏洞 预警 .病毒 预警 事件 预警 以 及 预警 分 发 等 。 

(3) 安全 对 象 风险 管理 。 包 括 安全 对 象 . 威 胁 管 理 \ 漏 洞 管理 、 安 全 基线 、 安 全 风险 管 
理 等 。 

(4) 流程 管理 。 主 要 是 对 各 种 安全 预警 .安全 事件 、 安 全 风险 进行 反应 。 工 单 是 流程 的 
一 种 承载 方式 ,因此 可 以 包括 产生 工 单 、 工 单 流转 以 及 将 工 单 处 理 经 验 进行 积累 等 。 

(5) 知识 管理 。 所 有 安全 工作 均 以 安全 知识 管理 为 基础 ,包括 威胁 库 、 病 毒 库 、 漏 洞 库 
和 安全 经 验 库 等 。 


4. 物 联网 系统 风险 管理 
物 联网 系统 安全 风险 是 指 在 物 联网 系统 当前 的 安全 措施 配置 情况 下 ,在 特定 时 间 窗 口 
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中 威胁 发 起 者 利用 相关 脆弱 性 成 功 实施 攻击 ,非法 获取 特定 物 联网 资产 上 特定 的 访问 权限 ， 
造成 物 联网 资产 上 特定 对 象 安全 失效 的 潜在 频率 和 危害 性 后 果 。 

物 联 网 系统 安全 风险 管理 有 6 个 阶段 : 

(1) 风险 管理 准备 阶段 。 包 括 风险 管理 计划 声明 和 物 联网 系统 描述 两 个 过 程 。 风 险 管 
理 计 划 声 明 对 整个 风险 管理 过 程 具有 指导 作用 , 它 主要 对 风险 管理 目标 、 策 略 程序 \ 方 法 、 
进度 安排 以 及 资源 约束 进行 规定 。 物 联网 系统 描述 过 程 主要 从 主体 域 .客体 域 和 业务 域 三 
个 视角 对 作为 风险 管理 对 象 的 物 联网 系统 展开 描述 ,从 而 提供 一 个 物 联网 系统 组 成 与 运行 
的 全 息影 像 ,为 全 面 识别 各 种 物 联 网 安全 风险 因素 奠定 基础 。 

(2) 物 联网 安全 风险 因素 识别 阶段 。 包 括 关 键 物 联 网 资产 识别 .脆弱 性 识别 、 威 胁 识 
别 . 已 有 安全 措施 识别 4 个 过 程 。 物 联网 资产 .脆弱 性 和 威胁 是 导致 物 联网 安全 风险 的 
因素 ,对 这 三 者 的 界定 分 别 通过 关键 物 联 网 资产 识别 .脆弱 性 识别 和 威胁 识别 三 个 过 程 
来 完成 。 其 中 ,关键 物 联网 资产 识别 过 程 研究 的 是 如 何在 众多 的 物 联 网 资产 中 选择 影响 
组 织 业务 运行 的 关键 物 联网 资产 ,从 而 保证 物 联 网 安全 风险 管理 的 重点 突出 ,更 加 符合 
工程 实践 的 要 求 。 已 有 安全 措施 识别 是 一 个 确认 物 联网 系统 当前 已 采用 的 各 种 安全 措 
施 的 过 程 。 

(3) 物 联 网 安全 风险 分 析 与 评估 阶段 。 包 括 基 于 利用 图 的 风险 事件 过 程 建 模 、 风 险 事 
件 频 率 计算 、 风 险 事 件 损失 计算 三 个 过 程 。 其 中 ,基于 利用 图 的 风险 事件 过 程 建 模 是 对 信息 
安全 风险 事件 的 动态 形成 过 程 进行 描述 的 过 程 , 当 构建 出 描述 特定 风险 事件 形成 过 程 的 利 
用 图 后 ,可 以 根据 风险 事件 发 生 频率 以 及 利用 图 中 涉及 的 原子 利用 的 成 功 概率 情况 直接 计 
算 风险 事件 频率 。 风 险 损 失 计 算 则 是 利用 合理 的 方法 直接 将 风险 损失 量化 为 等 价 的 货币 价 
值 的 过 程 。 

(4) 物 联 网 系统 安全 保障 分 析 阶 段 。 在 物 联 网 系统 安全 风险 管理 方法 中 ,可 采用 动态 
信息 安全 保障 体系 PDRR(Protect,Detect,Response,Recovery) 模 型 ,对 被 评估 物 联网 系统 
的 安全 保障 体系 进行 分 析 。 这 种 安全 保障 分 析 过 程 可 为 安全 决策 阶段 制定 安全 方案 提供 某 
种 宏观 意义 上 的 指导 。 

(5) 物 联 网 系统 安全 决策 阶段 。 这 一 阶段 视 对 物 联网 安全 风险 的 评估 结果 而 定 。 一 般 
而 言 ,任何 试图 降低 物 联 网 安全 风险 的 安全 措施 都 需要 花费 一 定 的 费用 。 因 此 , 当 评 估 得 到 
的 各 个 物 联网 安全 风险 或 总 的 安全 风险 处 于 安全 决策 人 员 根 据 物 联网 系统 安全 策略 制定 的 
物 联网 安全 风险 阔 值 之 下 时 ,无 须 启动 安全 决策 过 程 。 若 评估 所 得 的 各 个 物 联网 安全 风险 
或 物 联网 系统 总 的 安全 风险 超出 了 承受 水 平 ,就 需要 启动 安全 决策 过 程 ,制订 物 联网 安全 方 
案 来 降低 物 联网 安全 风险 。 

(6) 物 联 网 安全 风险 动态 监控 阶段 。 对 大 多 数组 织 来 说 , 物 联 网 系统 本 身 是 在 不 断 更 
新 和 变化 的 ,其 中 物 联 网 系统 软 硬 件 基础 设施 的 状态 , 物 联网 系统 所 面临 的 威胁 , 物 联网 系 
统 具 有 的 脆弱 性 , 物 联网 系统 相关 人 员 , 物 联网 系统 安全 策略 ,甚至 是 风险 管理 决策 层 的 物 
联网 安全 投资 额度 均 可 能 发 生动 态 变化 ,安全 方案 执行 情况 也 会 产生 与 计划 的 偏差 。 因 此 
应 该 对 物 联网 系统 的 安全 风险 进行 持续 的 监控 。 
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1. 名 词 解释 

(1) 物 联网 安全 ; (2) 容 侵 。 

2. 判断 题 

(1) 感知 层 和 网 络 层 是 物 联 网 的 核心 ,而 应 用 层 则 是 物 联网 的 基础 。( ) 

(2) 物 联网 网 络 层 主要 实现 信息 的 转发 和 传送 , 它 将 感知 层 获 取 的 信息 传送 到 远 端 ,为 
数据 在 远 端 进行 智能 处 理 和 分 析 决 策 提 供 强 有 力 的 支持 。( 

3. 填空 题 

(1) 物 联网 业界 比较 认可 的 三 层 结构 是 5 

(2) 感知 层 的 安全 策略 包括 

4. 选择 题 

(1) 物 联 网 除了 面 对 传 统 TCP/IP 网 络 ,无线 网 络 和 移动 通信 网 络 等 传统 网 络 安全 问 
题 之 外 ,还 存在 着 大 量 自身 的 特殊 安全 问题 ,并 且 这 些 特殊 性 大 多 来 自 感知 层 。 主 要 威胁 有 
以 下 ( ) 方 面 。 


A. 安全 隐私 B. 假冒 攻击 
C. 物理 安全 D. 数据 驱动 攻击 
E. 拒绝 服务 
(2) 物 联 网 安全 有 ( ) 个 层面 。 
A. 感知 层 安全 B. 客户 层 安全 
C. 传输 层 安 全 D. 硬件 层 安 全 
(3) 传输 层 的 安全 策略 包括 ( 沁 
A. 防火 墙 B. 安全 服务 器 
C. 隧道 服务 D. 数字 签名 与 数字 证 书 
(4) 密 钥 管理 的 要 求 有 ( ) 。 
A. 前 向 私密 性 B. 后 向 私密 性 和 可 扩展 性 
C. 主体 唯一 性 D. 保密 性 
5. 简 答题 


(1) 简 述 物 联网 发 展 的 前 景 。 
(2) 物 联 网 面临 的 安全 威胁 表现 在 哪些 方面 ? 
(3) 传输 层 的 工作 原理 是 什么 ? 有 哪些 安全 缺陷 ? 


_ 物 联网 三 层 安全 | 


本 章 将 介绍 感知 层 安全 威胁 和 对 策 , RFID 安全 和 传感器 网 络 安全 。 要 求学 生 人 掌握 物 
联网 感知 层 的 安全 应 对 策略 ,方法 和 技术 。 


@.1 感知 层 安 全 概述 
本 节 将 介绍 感知 层 的 安全 地 位 和 感知 层 安全 威胁 。 


8.1.1 感知 层 的 安全 地 位 


近年 来 , 物 联 网 技术 迅速 发 展 , 具 有 全 面 感知 信息 、 可 靠 传递 信息 和 智能 处 理 信息 。 以 
实现 对 物体 智能 化 的 控制 与 管理 的 功能 特征 ,为 安全 生产 领域 做 到 提前 感知 预警 ,超前 防 
范 、 避 免 重 特大 事故 的 发 生 提供 了 有 效 的 保证 ,这 也 将 是 改善 安全 生产 的 有 效 措施 。 传 统 的 
网 络 中 ,网 络 层 的 安全 和 业务 层 的 安全 是 相互 独立 的 ,而 物 联 网 的 特殊 安全 问题 很 大 一 部 分 
是 由 于 物 联网 是 在 现 有 移动 网 络 基础 上 集成 了 感知 网 络 和 应 用 平台 带 来 的 ,移动 网 络 中 的 
大 部 分 机 制 仍然 可 以 适用 于 物 联网 并 能 够 提供 一 定 的 安全 性 ,如 认证 机 制 , 加 密 机 制 等 ,但 
需要 根据 物 联网 的 特征 对 安全 机 制 进行 调整 和 补充 。 这 使 得 物 联网 除了 面 对 移 动 通信 网 络 
的 传统 网 络 安全 问题 之 外 ,还 存在 着 一 些 与 已 有 移动 网 络 安全 不 同 的 特殊 安全 问题 。 物 联 
网 主要 由 感知 层 、 网 络 层 和 应 用 层 三 个 层次 组 成 。 


1. 感知 层 


知 层 包 括 传感器 等 数据 采集 设备 及 数据 接 人 到 网 关 之 前 的 传 感 网 络 。 物 联网 的 数据 
采集 涉及 多 种 技术 ,如 传感器 、RFID、 二 维 码 ,多 媒体 信息 采集 和 实时 定位 。 对 于 目前 关注 
和 应 用 较 多 的 RFID 网 络 来 说 ,张贴 安装 在 设备 上 的 RFID 标签 和 用 来 识别 RFID 信息 的 扫 
描 仪 .感应 器 属于 物 联 网 的 感知 层 。 其 结构 如 图 8-1(a) 所 示 。 传 感 器 网 络 组 网 技术 可 以 实 
现 数 据 采 集 技术 如 传感器 、RFID 等 采集 到 数据 的 短 距离 传输 、 自 组 织 组 网 。 协 同 信息 处 理 
技术 可 以 实现 从 多 个 传感器 获取 数据 的 协同 信息 处 理 过 程 。 即 智能 节点 感知 信息 (温度 \ 湿 
度 和 图 像 等 ) ,并 自行 组 网 传递 到 上 层 网 关 接 人 点 ,由 网 关 将 收集 到 的 感应 信息 通过 网 络 层 
提交 到 后 台 处 理 。 其 结构 如 图 8-1(b) 所 示 。 


2. 网 络 层 
网 络 层 或 称 传输 层 , 包 括 信息 存储 查询 、 网 络 管理 等 功能 ,建立 在 现 有 的 移动 通信 网 和 
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(a) 


图 8-1 物 联网 感知 层 结构 类 型 


互联 网 基础 上 。 物 联网 通过 各 种 接 人 设备 与 移动 通信 网 和 互联 网 相连 接 , 它 能 够 高 可 靠 性 、 
高 安全 性 ,无 障碍 地 传送 感知 到 的 信息 。 


3. 应 用 层 


应 用 层 主 要 包含 应 用 支撑 平台 子 层 和 应 用 服务 子 层 ,利用 经 过 分 析 处 理 的 感知 数据 ,为 
用 户 提 供 如 信息 协同 共享 、 互 通 等 跨行 业 、 跨 应 用 、 跨 系 物 联网 感知 层 的 服务 ,典型 设备 包 
括 RFID 装置 .各 类 传感器 (如 红外 、 超 声 、 温 度 、 湿 度 和 速度 等 )、 图 像 捕捉 装置 (摄像 头 ) 全 
球 定位 系统 (GPS) 和 激光 扫描 仪 等 。 物 联网 在 感知 层 采集 数据 时 ,其 信息 传输 方式 基本 是 
无 线 网 络 传输 ,对 这 种 暴露 在 公共 场所 中 的 信号 如 果 缺 乏 有 效 保护 措施 的 话 , 很 容易 被 非法 
监听 、 窃 取 , 干 扰 。 而 且 在 物 联网 的 应 用 中 ,大 量 使 用 传感器 来 标识 物品 设备 ,由 人 或 计算 机 
远程 控制 来 完成 一 些 复杂 、 危 险 或 高 精度 的 操作 ,在 此 种 情况 下 , 物 联网 中 的 这 些 物 品 设备 
大 多 都 是 部 署 在 无 人 监控 的 地 点 完成 任务 的 ,那么 攻击 者 就 会 比较 容易 地 接触 到 这 些 设备 ， 
从 而 可 以 对 这 些 设备 或 其 承载 的 传感器 进行 破坏 ,甚至 通过 破译 传感器 通信 协议 ,对 它们 进 
行 非 法 操控 。 

感知 信息 要 通过 一 个 或 多 个 与 外 界 网 连接 的 传 感 节点 , 称 为 网 关节 点 (sink 或 
gateway) ,所 有 与 传 感 网 内 部 节点 的 通信 都 需要 经 过 网 关节 点 与 外 界 联系 。 因 此 感知 层 可 
能 遇 到 的 信息 安全 问题 主要 表现 为 以 下 几 个 方面 : 现 有 的 互联 网 具备 相对 完整 的 安全 保护 
能 力 ,但 是 由 于 互联 网 中 存在 数量 庞大 的 节点 ,将 会 导致 大 量 的 数据 同时 发 送 ,使 得 传 感 网 
的 节点 (普通 节点 或 网 关节 点 ) 受 到 来 自 于 网 络 的 拒绝 服务 (DoS) 攻 击 ; 传 感 网 的 网 关节 点 
被 敌手 控制 ,安全 性 全 部 丢失 ; 传 感 网 的 普通 节点 被 敌手 捕获 ,为 人 侵 者 对 物 联网 发 起 攻击 
提供 了 可 能 性 ; 接 入 到 物 联网 的 超大 量 传 感 节点 的 标识 、 识 别 、 认 证 和 控制 问题 。 


8.1.2 感知 层 安全 威胁 


基于 物 联网 本 身 的 特点 和 上 述 列举 的 物 联网 感知 层 在 安全 方面 存在 的 问题 ,需要 采取 
有 效 的 防护 对 策 ,主要 有 以 下 几 点 : 


1. 加 强 对 传 感 网 机 密 性 的 安全 控制 


在 传 感 网 内 部 ,需要 有 效 的 密 钥 管 理 机 制 ,用 于 保障 传 感 网 内 部 通信 的 安全 ,机 密 性 需 
要 在 通信 时 建立 一 个 临时 会 话 密 钥 ,确保 数据 安全 。 例 如 在 物 联网 构建 中 选择 射频 识别 系 
统 ,应 该 根据 实际 需求 考虑 是 否 选 择 有 密码 和 认证 功能 的 系统 。 


2. 加 强 节点 认证 


个 别传 感 网 (特别 是 当 传 感 数据 共享 时 ) 需 要 节点 认证 ,确保 非法 节点 不 能 接 人 。 认 证 
性 可 以 通过 对 称 密码 或 非 对 称 密码 方案 解决 。 使 用 对 称 密码 的 认证 方案 需要 预 置 节 点 间 的 
共享 密 钥 ,在 效率 上 也 比较 高 ,消耗 网 络 节点 的 资源 较 少 , 许 多 传 感 网 都 选用 此 方案 ; 而 使 
用 非 对 称 密码 技术 的 传 感 网 一 般 具 有 较 好 的 计算 和 通信 和 能力 ,并 且 对 安全 性 要 求 更 高 。 在 
认证 的 基础 上 完成 密 钥 协商 是 建立 会 话 密 钥 的 必要 步骤 。 


3. 加 强 入 侵 监 测 


一 些 重要 传 感 网 需要 对 可 能 被 敌手 控制 的 节点 行为 进行 评估 ,以 降低 敌手 入 侵 后 的 危 
害 。 敏 感 场合 ,节点 要 设置 封锁 或 自 毁 程序 ,发 现 节点 离开 特定 应 用 和 场所 ,启动 封锁 或 自 
毁 ,使 攻击 者 无 法 完成 对 节点 的 分 析 。 


4. 加 强 对 传 感 网 的 安全 路 由 控制 


几乎 所 有 传 感 网 内 部 都 需要 不 同 的 安全 路 由 技术 。 传 感 网 的 安全 需求 所 涉及 的 密码 技 
术 包括 轻 量 级 密码 算法 、 轻 量 级 密码 协议 .可 设 定安 全 等 级 的 密码 技术 等 。 


5. 应 构建 和 完善 我 国信 息 安全 的 监管 体系 


目前 监管 体系 存在 着 执法 主体 不 集中 ,多 重 多 头 管理 ,对 重要 程度 不 同 的 信息 网 络 的 管 
理 要 求 没有 差异 .没有 标准 ,缺乏 针对 性 等 问题 ,对 应 该 重点 保护 的 单位 和 信息 系统 无 从 人 
手 实施 管控 。 由 于 传 感 网 的 安全 一 般 不 涉及 其 他 网 路 的 安全 ,因此 是 相对 较 独 立 的 问题 ,有 
些 已 有 的 安全 解决 方案 在 物 联网 环境 中 也 同样 适用 。 但 由 于 物 联网 环境 中 传 感 网 遭受 外 部 
攻击 的 机 会 增 大 ,因此 用 于 独立 传 感 网 的 传统 安全 解决 方案 需要 提升 安全 等 级 后 才能 使 用 ， 
也 就 是 说 在 安全 的 要 求 上 更 高 。 


@.2 RFID 安全 


本 节 将 介绍 RFID 安全 威胁 和 安全 技术 。 


8.2.1 RFID 安全 威胁 


物 联网 感知 层 主要 由 RFID 系统 组 成 。 射 频 识别 (Radio Frequency Identification， 
RFID) 技 术 是 从 20 世纪 80 年 代 走 向 成 熟 的 一 项 自动 识别 技术 。RFID 作为 无 线 应 用 领域 
的 新 宠儿 , 正 被 广泛 用 于 采购 与 分 配 、 商 业 贸 易 、. 生 产 制 造 、 物 流 、 防 盗 以 及 军事 用 途上 ,与 之 
相关 的 安全 隐患 也 随 之 产生 。 越 来 越 多 的 商家 和 用 户 担心 RFID 系统 的 安全 和 隐私 保护 问 
题 , 即 在 使 用 RFID 系统 过 程 中 如 何 确 保 其 安全 性 和 隐私 性 ,不 至 于 导致 个 人 信息 、 业 务 信 
息 和 财产 等 丢失 或 被 他 人 次 用。 一 般 RFID 系统 由 两 部 分 组 成 : RFID 标签 CTag) 和 阅读 器 
(Reader) 。RFID 系统 的 安全 性 有 两 个 特性 。 首 先 ,RFID 标签 和 阅读 器 之 间 的 通信 是 非 接 
触 和 无 线 的 ,很 容易 被 窃听 ; 其 次 ,标签 本 身 的 计算 能 力 和 编程 性 直接 受到 成 本 要 求 的 限 
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制 。 一 般 地 ,RFID 的 安全 威胁 包括 以 下 两 个 方面 : 
1. RFID 系统 所 带 来 的 个 人 隐私 问题 


由 于 RFID 系统 具有 标识 和 可 跟踪 性 ,这 就 造成 携带 有 RFID 标签 的 用 户 的 个 人 隐私 
被 跟踪 和 泄露 。 


2. RFID 系统 所 带 来 的 安全 问题 


由 于 标签 成 本 的 限制 ,对 于 普通 的 商品 不 可 能 采取 很 强 的 加 密 方式 。 另 外 ,标签 与 阅读 
器 之 间 进 行 通信 的 链 路 是 无 线 的 ,无线 信 号 本 身 是 开放 的 ,这 就 给 非法 用 户 的 干扰 和 侦 听 带 
来 了 便利 。 还 有 阅读 器 与 主机 之 间 的 通信 也 可 能 受到 非法 用 户 的 攻击 。 针 对 RFID 主要 的 
安全 攻击 可 以 简单 地 分 为 主动 攻击 和 被 动 攻击 两 种 类 型 。 

1) 主动 攻击 

(1) 获得 的 射频 标签 实体 ,通过 物理 手段 在 实验 室 环境 中 去 除 芯 片 封装 ,使 用 微 探 针 获 
取 敏 感 信 号 ,从 而 进行 射频 标签 重 构 的 复杂 攻击 。 

(2) 通过 软件 ,利用 微 处 理 器 的 通用 接口 ,通过 扫描 射频 标签 和 响应 读 写 器 的 探寻 , 寻 
求 安全 协议 和 加 密 算法 存在 的 漏洞 ,进而 删除 射频 标签 内 容 或 算 改 可 重 写 射 频 标签 内 容 。 

(3) 通过 干扰 广播 .阻塞 信道 或 其 他 手段 ,构建 异常 的 应 用 环境 ,使 合法 处 理 器 发 生 故 
障 , 进 行 拒绝 服务 攻击 等 。 

2) 被 动 攻击 

(1) 通过 采用 窃听 技术 ,分 析 微 处 理 器 正常 工作 过 程 中 产生 的 各 种 电磁 特征 来 获得 射 
频 标签 和 读 写 器 之 间或 其 他 RFID 通信 设备 之 间 的 通信 数据 。 

(2) 通过 读 写 器 等 窃听 设备 跟踪 商品 流通 动态 。 主 动 攻击 和 被 动 攻击 都 会 使 RFID 应 
用 系统 面临 巨大 的 安全 风险 。 主 动 攻 击 通过 软件 算 改 标签 内 容 , 以 及 通过 删除 标签 内 容 及 
干扰 广播 .阻塞 信息 等 方法 来 扰乱 合法 处 理 器 的 正常 工作 ,影响 RFID 系统 的 正常 使 用 。 尽 
管 被 动 攻击 不 改变 射频 标签 的 内 容 ,也 不 影响 RFID 系统 的 正常 工作 ,但 它 是 获取 RFID 信 
息 , 个 人 隐私 和 物品 流通 信息 的 重要 手段 ,也 是 RFID 系统 应 用 的 重要 安全 隐患 。 

在 RFID 安全 认证 协议 中 ,可 以 分 为 静态 ID 和 动态 ID。 所 谓 静态 ID 是 指 在 安全 认证 
过 程 中 标签 ID 不 改变 ,这 次 通信 与 下 次 通信 记录 在 标签 中 的 ID 相同 。 动 态 ID 正如 其 名 ， 
在 一 次 认证 成 功 结束 后 ,标签 会 依据 协议 修改 标签 内 存储 的 ID, 下 次 通信 使 用 新 的 ID 号 。 

针对 动态 ID 认证 有 一 种 特殊 的 攻击 一 一 去 同步 攻击 。 在 去 同步 攻击 中 ,攻击 者 在 读 写 
器 和 标签 通信 过 程 中 ,通过 拦截 ,修改 、 转 发 等 手段 使 读 写 器 和 标签 对 当前 认证 过 程 判断 不 
一 致 ,达到 使 数据 库 和 标签 中 存储 ID 不 一 致 的 后 果 。 一 旦 被 去 同步 攻击 成 功 ,正常 的 标签 
和 读 写 器 ,数据库 之 间 无 法 成 功 认证 。 


8.2.2 RFID 安全 技术 
1. 物理 层 安 全 


使 用 物理 方法 来 保护 RFID 系统 安全 性 的 方法 主要 有 如 下 5 类 : 封杀 标签 法 (Kill Tag)、 
裁剪 标签 法 (Sclipped Tag) ,法 拉 第 畦 法 (Faraday Cage) ,主动 干扰 法 (Active Interference) 


第 8 章 “ 物 联网 感知 层 安全 


和 阻塞 标签 法 (Block Tag)。 这 些 方法 主要 用 于 一 些 低 成 本 的 标签 中 ,因为 这 类 标签 有 严格 
的 成 本 限制 ,因此 难以 采用 复杂 的 密码 机 制 来 实现 标签 与 读 写 器 之 间 的 通信 安全 。 

1) 封杀 标签 法 

封杀 标签 的 方法 是 在 物品 被 购买 后 ,利用 协议 中 的 kill 指令 使 标签 失效 ,这 是 由 标准 化 
组 织 Auto. IDCenter 提出 的 方案 。 它 可 以 完全 杜绝 物品 的 ID 号 被 非法 读 取 , 但 是 该 方法 以 
牺牲 RFID 的 性 能 为 代价 换取 了 隐私 的 保护 ,使 得 RFID 的 标签 功能 尽 失 ,是 不 可 逆 的 操 
作 , 如 顾客 需要 退换 商品 时 , 则 无 法 再 次 验证 商品 的 信息 。 把 电子 标签 杀 死 或 在 购买 产品 后 
将 其 丢弃 并 不 能 解决 RFID 技术 所 有 的 隐私 问题 ,更 何况 电子 标签 在 出 售后 对 消费 者 来 说 
还 有 很 多 用 处 ,所 以 简单 的 执行 kill 命令 的 方案 并 不 可 行 。 

2) 阻塞 标签 

阻塞 标签 法 也 称 为 RSA 软 阻塞 器 ,内 置 在 购物 袋 中 的 标签 ,在 物品 被 购买 后 ,禁止 读 写 
器 读 取 袋 中 所 购 货 物 上 的 标签 。EPCglobal 第 二 代 标 准 具 有 这 项 功能 。 阻 塞 标签 法 基于 二 
进 制 树 查 询 算法 , 它 通过 模拟 标签 ID 的 方式 干扰 算法 的 查询 过 程 。 阻 塞 标签 可 以 模拟 
RFID 标签 中 所 有 可 能 的 ID 集合 ,从 而 避免 标签 的 真实 ID 被 查询 到 。 该 方法 也 可 以 将 模 
拟 ID 的 范围 定 为 二 进 制 树 的 菜子 树 , 子 树 内 的 标签 有 固定 的 前 级 , 当 读 写 器 查询 标签 ID 的 
固定 前 级 时 ,阻塞 标签 不 起 作用 。 当 查询 到 固定 前 级 的 后 面 几 位 时 ,通过 模拟 标签 ID 来 干 
扰 算法 的 查询 过 程 。 通 过 这 种 方式 ,选择 性 阻塞 标签 可 以 用 于 阻止 读 写 器 查询 具有 任意 固 
定 前 组 的 标签 。 阻 塞 标签 法 可 以 有 效 地 防止 非法 扫描 ,最 大 的 优点 是 RFID 标签 基本 上 不 
需要 修改 ,也 不 用 执行 加 解密 运算 ,减少 了 标签 的 成 本 ,而 且 阻 塞 标签 的 价格 可 以 做 到 和 普 
通 标签 价格 相当 ,这 使 得 阻塞 标签 可 以 作为 一 种 有 效 的 隐私 保护 工具 。 但 是 缺点 是 阻塞 标 
签 可 以 模拟 多 个 标签 存在 的 情况 ,攻击 者 可 利用 数量 有 限 的 阻塞 标签 向 读 写 器 发 动 拒绝 服 
务 攻击 。 另 外 ,阻塞 标签 有 其 保护 范围 ,恶意 阻塞 标签 通过 模拟 标签 ID 能 阻塞 规定 ID 隐私 
保护 范围 之 外 的 标签 ,从 而 干扰 正常 的 RFID 应 用 。 

3) 裁剪 标签 法 

IBM 公司 针对 RFID 的 隐私 问题 ,开发 了 一 种 “裁剪 标签 技术 ,消费 者 能 够 将 RFID 天 
线 扯 掉 或 者 刮 除 , 大 大 缩短 了 标签 的 可 读 取 范围 ,使 标签 不 能 被 远 端 的 读 写 器 随意 读 取 。 
IBM 的 裁剪 标签 法 弥补 了 封杀 标签 法 的 短处 ,使 得 标签 的 读 取 距 离 缩短 到 1 一 2 英寸 ,可 以 
防止 攻击 者 在 远 处 非法 的 监听 和 跟踪 标签 。 

4) 法 拉 第 章法 

法 拉 第 音 法 根据 电磁 波 屏蔽 原理 ,采用 金属 丝 网 制 成 电磁 波 不 能 穿 透 的 容器 ,用 以 放置 
带 有 RFID 标签 的 物品 。 根 据 电磁 场 的 理论 ,无 线 电波 可 以 被 由 传导 材料 构成 的 容器 所 屏 
蔽 。 当 将 标签 放 和 法拉第 网 单 内 ,可 以 阻止 标签 被 扫描 ,被 动 标签 接收 不 到 信号 不 能 获得 能 
量 , 而 主动 标签 不 能 将 信和 号 发 射出 去 。 利 用 法 拉 第 网 单 同时 可 以 阻止 隐私 侵犯 者 的 扫描 。 
例如 , 当 货 币 骨 入 RFID 标签 以 后 ,可 以 利用 法 拉 第 网 单 原理 ,在 钱包 的 周围 里 上 金属 箱 
片 ,防止 他 人 扫描 得 知 身上 所 带 的 现金 数量 。 此 方法 是 一 种 初级 的 物理 方法 ,比较 适合 
体积 小 的 RFID 物品 的 隐私 保护 。 但 如 果 此 方法 被 滥用 ,还 有 可 能 成 为 商场 盗窃 的 另 一 
种 手段 。 

5) 主动 干扰 法 

主动 干扰 法 使 用 某 些 特殊 装置 干扰 RFID 读 写 器 的 扫描 ,破坏 和 抵制 非法 的 读 取 过 程 。 
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主动 干扰 无 线 电信 号 是 另 一 种 屏蔽 标签 的 方法 。 标 签 用 户 可 以 通过 一 个 设备 主动 广播 无 线 
电信 号 用 于 阻止 或 破坏 附近 的 RFID 读 写 器 的 操作 。 主 动 干扰 法 使 用 比较 麻烦 ,需要 特定 
的 无 线 电信 号 发 射 装置 ,此 方法 可 以 用 于 装载 货物 的 货车 ,在 途中 可 以 避免 攻击 者 非法 读 取 
车 中 的 信息 。 但 主动 干扰 实现 成 本 比较 高 ,不 便于 操作 ,如果 其 使 用 频率 与 周围 的 通信 系统 
相 冲 突 , 或 者 干扰 功率 没有 严格 的 限制 . 则 可 能 影响 正常 的 无 线 电 通信 及 相关 通信 设备 的 
使 用 。 

6) 夹子 标签 (Clipped Tag) 

夹子 标签 是 公司 针对 RFID 隐私 问题 开发 的 新 型 标签 。 消 费 者 能 够 将 RFID 天 线 扯 掉 
或 者 刮 除 ,缩小 标签 的 可 阅读 范围 ,使 标签 不 能 被 随意 读 取 。 使 用 夹子 标签 技术 ,尽管 天 线 
不 能 再 用 ,阅读 器 仍然 能 够 近 距 离 读 取 标 签 ( 当 消费 者 返回 来 退货 时 ,可 以 从 RFID 标签 中 
读 出 信息 ) 。 

7) 假名 标签 (Tag Pseudonyms) 

给 每 个 标签 一 套 假名 P1,P2,…, Pn, 在 每 次 阅读 标签 的 时 候 循 环 使 用 这 些 假名 ,这 就 
是 假名 标签 。 它 实现 了 不 给 标签 写 人 密码 ,只 简单 改变 它们 的 序号 就 可 以 保护 消费 者 隐私 
的 目的 。 但 是 ,攻击 者 可 以 反复 扫描 同一 标签 ,从 而 迫使 它 循环 使 用 所 有 可 用 的 假名 。 

8) 天 线 能 量 分 析 (Antenna-Energy Analysis) 

Kenneth Fishkin 和 Sumit Roy 提出 了 一 个 保护 隐私 的 系统 ,该 系统 的 前 提 是 合法 阅读 
器 可 能 会 相当 接近 标签 (如 一 个 收 款 台 ) ,而 恶意 阅读 器 可 能 离 标签 很 远 。 由 于 信和 号 的 信 噪 
比 随 距离 的 增加 迅速 降低 ,所 以 阅读 器 离 标签 越 远 ,标签 接收 到 的 噪声 信号 越 强 。 加 上 一 些 
附加 电路 ,一 个 RFID 标签 就 能 粗略 估计 一 个 阅读 器 的 距离 ,并 以 此 为 依据 改变 它 的 动作 行 
为 : 标签 只 会 给 一 个 远 处 的 阅读 器 很 少 的 信息 , 却 告诉 近 处 的 阅读 器 自己 唯一 的 ID 信息 
等 。 但 是 更 狭 猎 .多 层次 的 攻击 方式 也 可 能 成 功 ,因为 随 着 阅读 器 离 标签 距离 的 减 小 ,标签 
会 提供 给 阅读 器 越 来 越 多 的 信息 。 


2. RFID 协议 层 安全 


与 基于 物理 方法 的 硬件 安全 机 制 相 比 ,基于 密码 技术 的 软件 安全 机 制 受到 人 们 更 多 的 
青睐 。 其 主要 研究 内 容 是 利用 各 种 成 熟 的 密码 方案 和 机 制 来 设计 和 实现 符合 RFID 安全 需 
求 的 密码 协议 。 这 已 经 成 为 当前 RFID 安全 研究 的 热点 。 目 前 ,已 经 提出 了 多 种 RFID 安 
全 协议 ,例如 Hash-Lock 协议 、 随 机 化 Hash-Lock 协议 和 Hash 链 协议 等 。 下 面 对 其 进行 
简单 的 介绍 。 

1) Hash-Lock 协议 

Hash-Lock 协议 是 由 Sarma 等 人 提出 的 。 为 了 避免 信息 泄露 和 被 追踪 , 它 使 用 metaID 
来 代替 真实 的 标签 ID。 该 协议 中 没有 ID 动态 刷新 机 制 ,并 且 metalD 也 保持 不 变 ,ID 是 以 
明文 的 形式 通过 不 安全 的 信道 传送 ,因此 Hask-Lock 协议 非常 容易 受到 假冒 攻击 和 重 传 攻 
击 , 攻 击 者 也 可 以 很 容易 地 对 Tag 进行 追踪 。 

2) 随机 化 Hash-Lock 协议 

随机 化 Hash-Lock 协议 由 Weis 等 人 提出 , 它 采 用 了 基于 随机 数 的 询问 一 应 答 机 制 。 
在 该 协议 中 ,认证 通过 后 的 Tag 标识 I 队 仍 以 明文 的 形式 通过 不 安全 信道 传送 ,因此 攻击 者 
可 以 对 Tag 进行 有 效 的 追踪 。 同 时 ,一 旦 获得 了 Tag 的 标识 ,攻击 者 就 可 以 对 Tag 进行 假 


冒 。 该 协议 也 无 法 抵抗 重 传 攻击 。 不 仅 如 此 ,每 一 次 Tag 认证 时 ,后 端 数据 库 都 需要 将 所 
有 Tag 的 标识 发 送 给 阅读 器 ,二 者 之 间 的 数据 通信 量 很 大 。 所 以 ,该 协议 不 仅 不 安全 ,也 不 
实用 。 

3) Hash 链 协 议 

本 质 上 ,Hash 链 协议 也 是 基于 共享 秘密 的 询问 一 应 答 协议 。 但 是 ,在 Hash 链 协议 中 ， 
当 使 用 两 个 不 同 杂凑 函数 的 阅读 器 发 起 认证 ,Tag 总 是 发 送 不 同 的 应 答 。 在 该 协议 中 ,Tag 
成 为 了 一 个 具有 自主 ID 更 新 能 力 的 主动 式 Tag。 同 时 ,Hash 链 协议 是 一 个 单 向 认证 协议 ， 
只 能 对 Tag 身份 进行 认证 ,不 能 对 阅读 器 身份 进行 认证 。Hash 链 协议 非常 容易 受到 重 传 
和 假冒 攻击 。 此 外 ,每 一 次 Tag 认证 发 生 时 ,后 端 数据 库 都 要 对 每 一 个 Tag 进行 一 次 杂凑 
运算 。 因 此 其 计算 载荷 也 很 大 。 同 时 ,该 协议 需要 两 个 不 同 的 杂凑 函数 ,也 增加 了 Tag 的 
制造 成 本 。 

4) 基于 杂凑 的 ID 变化 协议 

基于 杂凑 的 ID 变化 协议 与 Hash 链 协议 相似 ,每 一 次 回话 中 的 ID 交换 信息 都 不 相同 。 
系统 使 用 了 一 个 随机 数 R 对 Tag 标识 不 断 进行 动态 刷新 ,同时 还 对 TID( 最 后 一 次 回话 号 ) 
和 LST( 最 后 一 次 成 功 的 回话 号 ) 信 息 进行 更 新 ,所 以 该 协议 可 以 抵抗 重 传 攻击 。 但 是 ,在 
Tag 更 新 其 ID 和 LST 信息 之 前 ,后 端 数据 库 已 经 成 功 地 完成 相关 信息 的 更 新 。 如 果 在 这 
个 时 间 延 迟 内 攻击 者 进行 攻击 (例如 ,攻击 者 可 以 伪造 一 个 假 消息 ,或 者 干脆 实施 干扰 使 
Tag 无 法 接收 到 该 消息 ) ,就 会 在 后 端 数据 库 和 Tag 之 间 出 现 严 重 的 数据 不 同步 问题 ,这 也 
就 意味 着 合法 的 Tag 在 以 后 的 回话 中 将 无 法 通过 认证 。 也 就 是 说 ,该 协议 不 适合 使 用 分 布 
式 数据 库 的 普 适 计算 环境 ,同时 存在 数据 库 同步 的 潜在 安全 隐患 。 

5) 数字 图 书馆 RFID 协议 

David 等 提出 的 数字 图 书馆 RFID 协议 使 用 基于 预 共享 秘密 的 伪 随 机 函数 来 实现 认 
证 。 到 目前 为 止 ,还 没有 发 现 该 协议 具有 明显 的 安全 漏洞 。 但 是 ,为 了 支持 该 协议 ,必须 在 
Tag 电路 中 包含 实现 随机 数 生成 以 及 安全 伪 随 机 函数 两 大 功能 模块 。 故 而 该 协议 完全 不 适 
用 于 低 成 本 的 RFID 系统 。 

6) 分 布 式 ID 询问 一 应 答 认证 协议 

Rhee 等 人 提出 了 一 种 适用 于 分 布 式 数据 库 环境 的 RFID 认证 协议 , 它 是 典型 的 询问 一 
应 答 型 双向 认证 协议 。 到 目前 为 止 ,还 没有 发 现 该 协议 有 明显 的 安全 漏洞 或 缺陷 。 但 是 ,在 
本 方案 中 ,执行 一 次 认证 协议 需要 Tag 进行 两 次 杂凑 运算 。Tag 电路 中 自然 也 需要 集成 随 
机 数 发 生 器 和 杂凑 函数 模块 ,因此 它 也 不 适合 低 成 本 RFID 系统 。 

7) LCAP 协议 

LCAP 协议 也 是 询问 一 应 答 协议 ,但 是 与 前 面 的 同类 其 他 协议 不 同 , 它 每 次 执行 之 后 都 
要 动态 刷新 Tag 的 ID。 与 基于 杂凑 的 ID 变化 协议 的 情况 类 似 ,Tag 更 新 其 ID 之 前 ,后 端 
数据 库 已 经 成 功 完 成 相关 ID 的 更 新 。 因 此 ,LCAP 协议 也 不 适用 于 分 布 式 数据 库 的 普 适 计 
算 环 境 , 同 时 也 存在 数据 库 同步 的 潜在 安全 隐患 。 

8) 再 次 加 密 机 制 (Re-encryption) 

RFID 标签 的 计算 资源 和 存储 资源 都 十 分 有 限 , 因 此 极 少 有 人 设计 使 用 公 钥 密码 体制 
的 RFID 安全 机 制 。 到 目前 为 止 ,公开 发 表 的 基于 公 钥 密码 机 制 的 RFID 安全 方案 只 有 两 
个 : Juels 等 人 提出 的 用 于 欧元 钞票 上 Tag 标识 的 建议 方案 ; Golie 等 人 提出 的 可 用 于 实现 
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RFID 标签 匿名 功能 的 方案 。 


@.3 传感器 网 络 安全 


本 节 将 介绍 传感器 网 络 结构 ,传感器 网 络 安全 威胁 ,传感器 网 络 安全 防护 手段 和 传感器 
网 络 典型 安全 技术 。 


8.3.1 传感器 网 络 结构 


传感器 网 络 是 物 联网 的 重要 组 成 部 分 。 它 将 智能 节点 感知 信息 (温度 ,湿度 和 图 像 等 ) 
自行 组 网 传递 到 上 层 网 关 接 人 点 ,由 网 关 将 收集 到 的 感应 信息 通过 网 络 层 提交 到 后 台 处 理 。 
无 线 传 感 器 网 络 将 逻辑 上 的 信息 世界 和 客观 上 的 物理 世界 融合 在 了 一 起 ,从 根本 上 改变 了 
人 与 自然 的 交互 方式 。 将 无 线 传感器 网 络 和 现 有 的 网 络 进行 融合 ,将 极 大 地 增强 人 类 认识 
世界 的 能 力 。 无 线 传感器 网 络 在 军事 、 环 境 监测 ,智能 家 居 、 医 疗 护理 ,智能 交通 \、 物 流 、 抗 震 
救灾 煤矿 安全 监测 等 方面 都 显示 出 了 巨大 的 潜在 应 用 价值 。 


1. 传感器 体系 结构 


在 实际 应 用 中 ,无 线 传感器 网 络 结构 如 图 8-2 所 示 。 监 控 区 域内 的 节点 对 感 兴趣 的 
数据 进行 采集 .处 理 、 融 合 ,并 通过 主 节点 (接收 器 Sink) 路 由 到 基站 ,用 户 可 以 通过 卫星 
或 因特网 进行 查看 控制 整个 网 络 。 典 型 的 异 构 型 结构 如 图 8-2 所 示 : 传感器 节点 自 组 
织 成 子 网 ,每 个 子 网 通过 网 关 同 数据 库 中 心 连接 ,终端 用 户 通 过 数据 中 心 对 各 个 子 网 进 
行 监控 。 


图 8-2 无 线 传感器 网 络 体系 结构 


2. 传感器 节点 结构 


传感器 节点 由 传感器 模块 .处理 器 模块 无线 通 信 模 块 和 能 量 供应 模块 4 部 分 组 成 ,如 
图 8-3 所 示 。 

传感器 模块 负责 监测 区 域内 信息 的 采集 和 数据 转换 ; 处 理 器 模块 负责 控制 整个 传 感 
器 节点 的 操作 ,存储 和 处 理 本 身 采 集 的 数据 以 及 其 他 节点 发 来 的 数据 ; 无 线 通 信 模 块 负 
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图 8-3 传感器 节点 的 结构 


责 与 其 他 传感器 节点 进行 无 线 通信 ,交换 控制 信息 和 收发 采集 数据 ; 能 量 供应 模块 为 传 
感 器 节点 提供 运行 所 需 的 能 量 , 通 常 采用 微型 电池 。 由 于 传感器 节点 采用 电池 供电 ,一 
且 电 能 耗 尽 ,节点 就 失去 了 工作 能 力 。 为 了 最 大 限度 地 节约 电能 ,在 硬件 设计 方面 ,尽量 
采用 低 功 耗 器 件 ,在 没有 通信 任务 的 时 候 切 断 射 频 部 分 电源 ; 在 软件 设计 方面 ,各 通信 协 
议 都 应 该 以 节能 为 中 心 , 必 要 时 可 以 牺牲 一 些 其 他 的 网 络 性 能 指标 ,以 获得 更 高 的 电源 
效率 。 

随 着 无 线 传感器 网 络 技术 的 不 断 发 展 , 应 用 范围 的 不 断 扩 大 ,传感器 节点 的 处 理 能 力 日 
趋 增强 ,通过 传感器 收集 和 处 理 的 数据 也 越 来 越 多 ,人 迫切 需要 保证 节点 间 信 息 传 输 的 安全 。 
因此 ,无 线 传感器 网 络 的 安全 应 用 也 成 为 一 个 技术 热点 。 下 面 首先 介绍 无 线 传感器 网 络 , 接 
着 分 析 无 线 传感器 网 络 所 面临 的 安全 威胁 ,得 出 无 线 传 感 网 络 的 主要 安全 问题 ,从 而 总 结 无 
线 传 感 网 络 的 安全 目 作为 无 线 传感器 网 络 安全 研究 的 主要 依据 。 


8.3.2 传感器 网 络 安全 威胁 分 析 
1. 应 用 分 类 


针对 无 线 传感器 网 络 应 用 ,可 将 其 安全 威胁 大 致 分 为 外 部 攻击 和 内 部 攻击 两 类 。 

1) 外 部 攻击 

外 部 攻击 是 攻击 者 未 被 授权 的 加 入 传感器 网 络 中 的 攻击 方式 。 由 于 传感器 网 络 的 通信 
采用 无 线 信道 ,一 个 被 动 攻击 者 可 以 在 网 络 的 无 线 频率 范围 内 轻易 地 窃听 信道 上 传送 的 数 
据 , 从 而 获取 隐私 或 者 机 密 信息 。 另 外 ,敌手 也 可 以 算 改 或 者 欺骗 数据 包 , 从 而 伪造 通信 中 
的 认证 信息 或 者 注 和 人 大量 的 垃圾 包 阻塞 网 络 。 另 一 种 外 部 攻击 是 攻击 者 直接 破坏 传感器 节 
点 ,使 之 失效 ,从 而 攻击 者 可 以 替代 该 失效 节点 向 网 络 中 重 放 数据 包 消 耗 接收 节点 所 有 的 电 
源 能 量 。 当 然 ,并 不 是 节点 失效 的 所 有 原因 都 是 因为 敌手 的 攻击 破坏 ,自然 的 电源 耗 尽 或 者 
恶劣 的 天 气 状况 也 可 能 导致 节点 的 失效 。 虽 然 敌 手 破坏 和 自然 失效 有 区 别 , 但 是 在 网 络 中 
区 分 这 两 种 情况 哪 种 是 由 外 部 攻击 造成 的 是 很 困难 的 ,况且 两 种 情况 的 失效 都 会 导致 网 络 
拓扑 的 动态 变换 ,也 会 对 网 络 的 安全 性 产生 影响 。 
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2) 内 部 攻击 

节点 被 俘获 是 无 线 传感器 网 络 所 面临 的 一 个 最 大 的 安全 威胁 。 如 果 网 络 中 的 一 个 节点 
一 旦 被 敌手 俘获 ,攻击 者 就 可 以 利用 这 个 叛 道 节点 发 起 内 部 攻击 。 相 对 于 攻击 者 发 起 被 动 
攻击 破坏 节点 ,被 俘获 的 节点 将 可 以 在 敌手 的 控制 下 发 起 主动 攻击 ,主动 的 扰乱 破坏 整个 网 
络 。 被 俘获 的 叛逆 节点 隐秘 到 无 线 传感器 网 络 中 一 般 有 两 种 方式 : 一 种 方式 是 暗中 破坏 传 
感 器 节点 ,例如 敌 方 重新 设置 节点 内 存储 的 程序 ; 另外 一 种 方式 是 把 被 俘获 节点 替换 为 功 
能 更 加 强大 的 设备 ,如 具有 更 强 的 电源 能 量 、 计 算 能 力 和 存储 能 力 。 


2. 技术 分 类 


由 于 无 线 传感器 网 络 规模 大 ,但 是 节点 自身 的 能 力 有 限 (包括 计算 、 传 输 、 存 储 和 供 能 都 
非常 有 限 ), 并 不 是 所 有 的 传 感 节点 都 能 与 基站 直接 进行 通信 , 离 基站 较 远 的 传 感 节点 所 发 
送 的 信息 必须 经 过 中 间 节 点 的 转发 才能 到 达 基 站 。 无 线 传感器 网 络 可 能 遭遇 的 攻击 类 型 多 
种 多 样 ,按照 网 络 模型 划分 ,主要 面临 的 威胁 如 下 : 

1) 物理 层 攻击 

物理 攻击 主要 集中 在 物理 破坏 ,节点 捕获 、 信 号 干扰 、. 窍 听 和 算 改 等 。 攻 击 者 可 以 通过 
流量 分 析 , 发 现 重要 节点 如 簇 头 、 基 站 的 位 置 ,然后 发 动物 理 攻 击 。 

(1) 信号 干扰 和 和 窃听 攻击 。 因 为 采用 无 线 通 信 , 低 成 本 的 传感器 网 络 很 容易 遭受 信号 
干扰 和 窃听 攻击 。 

(2) 算 改 和 物理 破坏 攻击 。 由 于 传感器 节点 分 布 广 、 成 本 低 ,很 容易 物理 损坏 或 被 捕 
获 , 因 此 一 些 加 密 密 钥 和 机 密 信息 就 可 能 被 破坏 或 泄露 ,攻击 者 甚至 可 以 通过 分 析 其 内 部 敏 
感 信息 和 上 层 协议 机 制 , 破 解 传感器 网 络 的 安全 机 制 。 

(3) 仿冒 节点 攻击 。 因 为 很 多 路 由 协议 并 不 认证 报 文 的 地 址 ,所 以 攻击 者 可 以 声称 为 
某 个 合法 节点 而 加 入 网 络 , 甚 至 能 够 屏蔽 某 些 合法 节点 , 替 它 们 收发 报 文 。 

2) 链 路 层 安 全 威胁 

链 路 层 比较 容易 遭受 DoS 攻击 ,攻击 者 可 以 通过 分 析 流 量 来 确定 通信 和 链 路 ,发 动 相应 
攻击 ,如 对 主要 通信 节点 发 动 资源 消耗 攻击 。 

(1) 链 路 层 碰撞 攻击 。 数 据 包 在 传输 过 程 中 不 能 够 发 生 冲 突 , 只 要 有 一 个 字 节 的 数据 
发 生 冲 突 ,那么 整个 数据 包 都 会 被 丢弃 ,这 种 冲突 在 链 路 层 协议 中 称 为 碰撞 。 攻 击 者 通过 花 
费 很 小 的 代价 可 实行 链 路 层 碰撞 攻击 。 例 如 发 送 一 个 字 节 的 报 文 破坏 正在 传送 的 正常 数据 
包 , 从 而 引起 接受 方 校 验 和 出 错 , 进 而 在 一 些 MAC 协议 中 认为 链 路 层 碰撞 ,引发 指数 退 避 
机 制 ,造成 网 络 延迟 ,甚至 瘫痪 。 

(2) 资源 消耗 攻击 。 攻 击 者 发 送 大 量 的 无 用 报 文 消耗 网 络 和 节点 资源 ,如 带宽 、 内 存 、 
CPU 和 能 量 等 。 例 如 不 间断 攻击 用 ,攻击 者 不 停 发 送 报 文 ,使 得 节点 的 电源 很 快 耗 尽 ,从 而 
达到 DoS 攻击 效果 。 

(3) 非 公平 竞争 。 如 果 网 络 通信 机 制 中 存在 优先 级 控制 , 则 被 俘 节 点 或 恶意 节点 就 可 
以 通过 不 断 发 送 高 优先 级 的 数据 包 占据 信道 ,从 而 使 得 其 他 节点 在 通信 过 程 中 不 能 够 获得 
信道 。 

3) 网 络 层 的 安全 威胁 

(1) 虚假 路 由 攻击 。 通 过 欺骗 . 自 改 或 重 发 路 由 信息 ,攻击 者 可 以 创建 路 由 循环 ,引起 
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或 抵制 网 络 传输 ,延长 或 缩短 源 路 径 ,形成 虚假 错误 消息 ,分 割 网 络 , 增 加 端 到 端的 延迟 等 。 

(2) 选择 性 地 转发 。 恶 意 性 节点 可 以 概率 性 地 转发 或 者 丢弃 特定 消息 ,使 数据 包 不 能 
到 达 目 的 地 ,导致 网 络 陷 入 混乱 状态 。 当 攻击 者 在 数据 传输 路 径 上 时 ,该 攻击 通常 最 为 
有 效 。 

(3) Sinkhole 槽 洞 攻击 。 攻 击 者 的 目标 是 尽 可 能 地 引诱 一 个 区 域 中 的 流量 通过 一 个 恶 
意 节点 或 已 遭受 入 侵 的 节点 ,进而 制造 一 个 以 恶意 节点 为 中 心 的 “接收 洞 ”, 一 旦 数据 都 经 过 
该 恶意 节点 ,节点 就 可 以 对 正常 数据 进行 自 改 ,并 能 够 引发 很 多 其 他 类 型 的 攻击 。 因 此 ,无 
线 传感器 网 络 对 Sinkhole 攻击 特别 敏感 。 

(4) 拒绝 服务 攻击 。 由 于 无 线 传感器 网 络 是 基于 某 一 任务 的 合作 团队 ,在 无 线 传 感 器 
网 络 节点 之 间 建 立 合作 规则 以 达成 默契 ,这 需要 彼此 之 间 频 繁 地 交换 信息 。 攻 击 点 可 以 以 
不 同 的 身份 连续 向 某 一 邻居 发 送 路 由 或 数据 请 求 报 文 ,使 该 邻居 不 停 地 分 配 资源 以 维持 一 
个 新 的 连接 。 由 于 无 线 传感器 网 络 节点 资源 有 限 ,这 种 攻击 尤为 致命。 

(5) Sybil 攻击 。Sybil 攻击 是 位 于 某 个 位 置 的 单个 恶意 节点 不 断 地 声明 其 有 多 重 身份 
(如 多 个 位 置 等 ) ,通告 给 其 他 节点 ,使 得 它 在 其 他 节点 面前 具有 多 个 不 同 的 身份 ,事实 上 是 
不 存在 的 ,所 有 发 往 这 些 虚拟 节点 的 数据 都 被 恶意 节点 获得 。Sybil 攻击 对 于 基于 位 置信 息 
的 路 由 算法 很 有 威胁 。 

(6) Wormholes 攻击 。 恶 意 节 点 通过 声明 低 延 迟 链 路 骗取 网 络 的 部 分 消息 并 开 亦 隧 
道 , 以 两 个 节点 间 貌 似 较 短 的 距离 来 吸引 路 由 ,并 在 网 络 的 其 他 区 域 中 重 放 骗 取 到 的 消息 。 
如 图 8-4 所 示 , 两 个 恶意 节点 之 间 有 一 个 低 延 迟 、 高 带宽 的 链 路 ,其 中 一 个 恶意 节点 位 于 基 
站 附近 ,这 样 较 远 处 的 那个 恶意 节点 可 以 使 周围 节点 相信 自己 有 一 条 到 达 基 站 的 高 效 路 由 ， 
从 而 吸引 周围 的 流量 。 虫 洞 攻击 可 以 引发 其 他 类 似 于 Sinkhole 攻击 等 ,也 可 能 与 选择 性 转 
发 或 Sybil 攻击 结合 起 来 。 


国 焉 意 节 点 


| 
本 。 正常 WSN 节 点 
一 正常 链 路 
--- 恶意 链 路 
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(7) HELLO 洪 泛 攻击 。 攻 击 者 使 用 足够 大 功率 的 无 线 设备 广播 HELLO 包 , 使 得 网 
络 中 的 每 一 个 节点 都 认为 攻击 者 是 其 直接 邻居 ,并 试图 将 其 报 文 转发 给 攻击 节点 。 由 于 一 
部 分 节点 距离 攻击 节点 相当 远 ,加 上 传输 能 力 有 限 ,发送 的 消息 根本 不 可 能 到 达 攻 击 节点 而 
造成 数据 包 丢失 ,从 而 使 网 络 陷 和 人 一 种 混乱 状态 。 

(8) 确认 欺骗 。 一 些 传感器 网 络 路 由 算法 依赖 于 潜在 的 或 者 明确 的 链 路 层 确 认 。 在 确 
认 欺 骗 攻 击 中 ,恶意 节点 窃听 发 往 邻 居 的 分 组 ,并 伪造 链 路 层 确认 ,使 得 发 送 者 相信 一 条 差 
的 链 路 是 好 的 或 一 个 已 死 节点 是 活着 的 ,而 随后 在 该 链 路 上 传输 的 报 文 将 丢失 。 

(9) 被 动 窃听 。 攻 击 者 可 轻易 地 对 单个 甚至 多 个 通信 链 路 间 传 输 的 信息 进行 窃听 ,从 
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而 分 析出 传 感 信息 中 的 敏感 数据 。 另 外 ,通过 传 感 信息 包 的 窃听 ,还 可 以 对 无 线 传感器 网 络 
中 的 网 络 流量 进行 分 析 ,推导 出 传 感 节点 的 作用 等 。 

4) 传输 层 攻击 

(1) 洪 泛 攻 击 。 攻 击 者 通过 发 送 很 多 连接 确认 请 求 给 节点 ,人 迫使 节点 为 每 个 连接 分 配 
资源 以 维持 每 个 连接 ,以 此 消耗 节点 资源 。 

(2) 重 放 攻 击 。 攻 击 者 截获 在 无 线 传感器 网 络 中 传播 的 传 感 信息 ,控制 信息 和 路 由 信 
息 等 ,对 这 些 截 获 的 旧 信 息 进行 重新 发 送 , 从 而 造成 网 络 混乱 、 传 感 节点 错误 决策 等 。 


8.3.3 传感器 网 络 安全 防护 主要 手段 


就 像 所 有 计算 机 平台 一 样 ,确保 传感器 网 络 提供 正常 的 服务 功能 是 一 个 核心 。 这 样 的 
网 络 伴随 着 特定 的 安全 需求 ,如 机 密 性 、 完 整 性 和 真实 性 等 ,取决 于 特定 的 应 用 需求 。 然 而 ， 
要 达到 这 样 的 目标 ,对 于 传感器 网 络 而 言 并 非 易 事 , 其 固有 特征 决定 了 在 对 抗 来 自 于 外 部 或 
内 部 的 攻击 时 显得 非常 脆弱 。 一 方面 ,传感器 节点 在 计算 能 力 、 存 储 器 大 小 .通信 带宽 和 电 
池 能 量 等 方面 资源 严格 受 限 ; 另 一 方面 , 它 必 须 分 布 于 要 感知 事件 的 周围 而 容易 被 物理 地 
直接 访问 ,并 由 于 成 本 的 因素 而 不 容易 实现 。 


1. 物理 层 防 护 手段 


1) 无 线 干扰 攻击 

根据 攻击 形式 的 不 同 ,一 些 应 对 无 线 干 扰 攻 击 的 办 法 如 下 : 

(1) 对 于 单 频 点 的 无 线 干扰 攻击 ,使 用 宽频 和 跳 频 的 方法 比较 有 效 。 在 检测 到 所 在 空 
间 遭 受到 攻击 后 ,网 络 节点 将 跳 转 到 另外 一 个 频率 进行 通信 。 

(2) 对 于 全 频 长 期 持续 无 线 干扰 攻击 ,唯一 有 效 的 方法 是 转换 通信 模式 。 如 切换 到 其 
他 通信 方式 如 红外 线 ,激光 通信 等 都 是 有 效 备 选 方法 。 其 缺点 是 成 本 比较 高 。 

(3) 对 于 有 限时 间 内 的 持续 干扰 攻击 ,传感器 节点 可 以 在 被 攻击 的 时 候 不 断 降低 自身 
工作 的 占 空 比 ,并 定期 检测 攻击 是 否 存 在 , 当 感 知 到 攻击 终止 以 后 ,恢复 到 正常 的 工作 状态 。 

(4) 对 于 间歇 性 无 线 干扰 攻 击 ,传感器 节点 可 以 利用 攻击 间歇 进行 数据 转发 。 如 果 攻 
击 者 采用 的 是 局 部 攻击 ,节点 可 以 在 间歇 期 间 采 用 高 优先 级 数据 包 通 知 基 站 遭受 到 无 线 干 
扰 攻 击 ,基站 在 接收 到 所 有 节点 的 无 线 干扰 报告 后 ,在 整个 拓扑 图 中 映射 出 受 攻击 地 点 的 区 
域 范围 ,并 将 无 线 干 扰 区 域 通知 到 整个 网 络 。 在 进行 数据 通信 时 ,节点 将 采取 避让 策略 绕 过 
无 线 干扰 区 域 。 

2) 物理 算 改 攻击 

对 于 物理 算 改 ,需要 采用 更 精细 的 保护 机 制 ,例如 : 

(1) 增加 物理 损害 感知 机 制 , 使 得 节点 能 够 根据 其 外 部 环境 的 变化 、 收 发 数据 包 的 情况 
以 及 一 些 敏 感 信 号 的 变化 ,判断 是 否 遭 受 物理 侵犯 。 节 点 在 感知 到 被 破坏 后 ,采用 具体 的 策 
略 , 如 销毁 敏感 数据 ,脱离 网 络 、 修 改 安全 处 理 程序 等 ,使 攻击 者 不 能 正确 分 析 系 统 的 安全 
机 制 。 

(2) 对 敏感 信息 进行 加 密 存储 。 通 信和 加 密 密 钥 认证 密 钥 和 各 种 安全 启动 密 钥 需要 严 
密 的 保护 。 攻 击 者 通常 采用 静态 分 析 系 统 非 易 失 存储 器 的 方法 ,因为 对 于 攻击 者 而 言 , 读 取 
系统 动态 内 存 中 的 信息 比较 困难 。 因 此 ,在 实现 时 .敏感 信息 尽量 存放 在 易 失 存储 器 上 ,如 


果 必 须要 存储 在 非 易 失 存储 器 上 , 则 需 先进 行 加 密 处 理 。 

(3) 在 实际 应 用 中 ,对 节点 进行 物理 伪装 和 隐藏 也 是 躲避 物理 破坏 攻击 的 有 效 方法 。 

3) 仿冒 节点 攻击 

造成 仿冒 攻击 的 根本 原因 是 节点 未 能 鉴别 报 文 的 来 源 。 因 此 对 付 仿冒 节点 攻击 的 有 效 
方法 是 网 络 各 节点 之 间 进 行 相互 认证 。 对 于 节点 的 行为 ,首先 要 进行 身份 认证 ,确定 为 合法 
节点 才能 接收 和 发 送 报 文 。 


2. 链 路 层 攻击 


1) 链 路 层 碰撞 攻击 

针对 碰撞 攻击 ,可 以 采用 以 下 几 种 处 理 方法 : 

(1) 纠 错 编码 。 纠 错 编码 通过 在 数据 包 中 增加 宛 余 信息 来 纠正 数据 包 中 的 错误 位 , 通 
常 采用 1 或 2 位 纠 错 码 。 如 果 碰 撞 攻 击 者 采用 瞬间 攻击 ,只 影响 个 别 数据 位 ,那么 使 用 纠 错 
编码 是 有 效 的 。 

(2) 信道 监听 和 重 传 机 制 。 采 用 这 种 方法 旨 在 降低 碰撞 的 概率 ,节点 在 发 送 前 先 对 信 
道 随机 监听 一 段 时 间 ,在 预测 信道 一 段 时 间 为 空闲 的 时 候 开始 发 送 。 对 于 有 确认 的 数据 传 
输 协议 ,如 果 对 方 表示 没有 收 到 正确 的 数据 包 , 则 将 数据 重新 发 送 一 遍 。 

2) 资源 消耗 攻击 

对 抗 资 源 耗 尽 攻击 的 常用 方法 如 下 : 

(1) 限制 网 络 发 送 速度 ,节点 自动 抛弃 多 余数 据 请 求 ,但 会 降低 网 络 效 率 。 

(2) 在 协议 实现 时 制定 一 些 策略 ,对 过 度 频繁 的 请 求 不 予 理 上 ,或 者 限制 同一 个 数据 包 
的 重 传 次 数 等 。 

3) 非 公平 竞争 

这 种 攻击 方式 需要 攻击 者 十 分 了 解 传感器 网 络 的 MAC 层 协 议 机 制 ,并 利用 MAC 层 
的 协议 进行 攻击 。 解 决 方法 通常 有 如 下 两 种 : 

(1) 短 包 策略 。 不 使 用 过 长 的 数据 包 , 缩 短 每 包 占用 信道 的 时 间 。 

(2) 不 采用 优先 级 策略 或 者 弱化 优先 级 差异 ,可 以 采用 时 分 复 用 或 者 竞争 的 方式 进行 
数据 传输 。 


3. 网 络 层 攻 击 防 御 手 段 


针对 网 络 层 各 种 威胁 的 解决 方案 如 下 。 

1) 外 部 攻击 的 防御 

(1) 对 于 WSN 网 络 层 的 外 部 被 动 窃听 攻击 ,可 以 采用 加 密 报 文 头 部 或 假名 变换 等 方 
法 隐藏 关键 节点 的 位 置 和 身份 ,采用 延 时 填充 等 匿名 变换 技术 实现 信息 收发 的 逻辑 隔离 , 
增 大 攻击 者 的 逻辑 推理 难度 。 

(2) 对 于 WSN 网 络 层 的 大 部 分 外 部 主动 攻击 ,如 外 部 女巫 、 告 知 收 到 欺骗 和 HELLO 
洪 泛 攻击 等 ,可 以 通过 使 用 链 路 层 加 密 和 认证 机 制 来 防御 。 攻 击 者 由 于 不 知道 密 钥 ,不 能 解 
密 , 因 而 无 法 算 改 数据 包 。 由 于 无 法 计算 正确 的 消息 认证 码 , 因 而 攻击 者 的 数据 包 不 能 通过 
认证 ,从 而 被 阻挡 在 网 络 之 外 。 

(3) 由 于 虫 洞 和 HELLO 洪 泛 攻击 方式 不 对 数据 包 内 部 做 任何 改动 ,因而 尽管 攻击 者 
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被 阻挡 在 网 络 之 外 ,以 上 链 路 层 的 加 密 和 认证 机 制 仍旧 对 这 两 种 攻击 收效 甚 微 , 采 用 单纯 应 
用 密码 学 知识 不 能 完全 抵御 这 类 破坏 。 

2) 内 部 攻击 的 防御 

对 于 内 部 攻击 者 或 妥协 节点 而 言 ,使 用 全 局 共享 密 钥 的 链 路 层 安 全 机 制 毫 无 作用 。 内 
部 攻击 者 可 以 通过 哄骗 或 注入 虚假 信息 ,创建 槽 洞 .选择 转发 数据 包 或 使 用 内 部 女巫 攻击 或 
广播 HELLO 消息 等 方式 攻击 网 络 , 需 考虑 采用 其 他 机 制 抵御 这 些 攻击 。 以 下 逐一 进行 
讨论 : 

(1) Sybil 攻击 的 防御 。 节 点 身份 确认 是 抵御 女巫 攻击 的 有 效 手 段 。 一 个 方法 是 令 节 
点 间 的 共享 密 钥 与 节点 的 特有 属性 信息 (如 节点 位 置信 息 等 ) 相 关联 ,攻击 节点 由 于 只 具有 
它 所 妥协 节点 的 特有 属性 信息 ,因此 其 伪造 身份 将 不 会 通过 认证 。 另 一 个 方法 是 令 每 个 节 
点 都 与 可 信任 的 基站 共享 唯一 的 对 称 密 钥 ,两 个 需要 通信 的 节点 可 以 使 用 类 似 Needham. 
Schroeder 协议 确认 对 方 身 份 和 建立 共享 密 钥 , 相 邻 节点 可 通过 协商 的 密 钥 实现 认证 和 加 密 
链 路 。 为 了 防止 一 个 内 部 攻击 者 试图 与 网 络 中 的 所 有 节点 建立 共享 密 钥 ,基站 可 以 给 每 个 
节点 设置 一 个 邻居 节点 数目 限制 。 

(2) HELLO 洪 泛 攻击 的 防御 。 对 于 该 攻击 的 一 个 可 能 的 解决 办 法 是 通过 信任 基站 ， 
使 用 身份 确认 协议 认证 每 一 个 邻居 的 身份 ,并 且 基 站 限制 节点 的 邻居 个 数 , 当 攻击 者 试图 发 
起 HELLO 洪 泛 攻击 时 ,必须 被 大 量 邻 居 认 证 ,这 将 引起 基站 的 注意 。 

(3) Wormholes 和 Sinkhole 的 防御 。 防 御 这 两 种 攻击 十 分 困难 ,尤其 是 两 者 联合 发 起 
的 时 候 。 虫 洞 攻击 者 使 用 一 个 超出 频率 范围 的 .私有 的 、 对 传感器 网 络 不 可 见 的 信道 ,因而 
虫 洞 攻击 难以 察觉 ， 槽 洞 攻 击 对 于 那些 基于 竞争 条 件 ( 如 剩余 能 量 、 估 计 端 到 端的 可 靠 度 
等 ) 进 行路 由 的 协议 而 言 很 难 防 御 。 地 理 路 由 协议 能 够 抵御 虫 洞 和 槽 洞 攻击 。 协 议 中 节点 
之 间 按 需 形成 地 理 位 置 拓扑 结构 ,每 个 节点 都 保持 自己 绝对 或 是 彼此 相对 的 位 置信 息 , 当 虫 
洞 攻击 者 妄图 跨 域 发 起 攻击 时 ,局 部 节点 能 够 通过 彼此 之 间 的 拓扑 信息 来 将 其 识破 。 另 外 ， 
由 于 流量 自然 的 流向 基站 的 物理 位 置 , 别 的 位 置 很 难 吸引 流量 ,因而 不 能 创建 槽 洞 。 此 外 ， 
安全 定位 技术 也 是 检测 虫 洞 攻击 的 一 种 有 效 方法 。 

(4) 选择 性 转发 攻击 的 防御 。 选 择 性 转发 攻击 是 无 线 传感器 网 络 中 常见 而 又 威胁 极 大 
的 一 种 攻击 。 只 要 网 络 中 有 妥协 节点 存在 ,就 可 能 引发 选择 转发 攻击 。 宛 余 的 多 路 径 、 多 跳 
确认 以 及 基于 信任 管理 机 制 的 测评 方法 等 能 够 抵御 此 类 攻击 。 


4. 传输 层 的 安全 威胁 


1) 洪 泛 攻击 

(1) 限制 连接 数量 和 客户 端 恋 题 的 方法 进行 抵御 。 要 求 客户 成 功 回答 服务 器 的 若干 问 
题 后 再 建立 连接 , 它 的 缺点 是 要 求 合 法 节点 进行 更 多 的 计算 .通信 和 消耗 更 多 的 能 量 。 

(2) 和 人 侵 检测 机 制 。 引 入 和 人 侵 检测 机 制 , 基 站 限制 这 些 泛 洪 攻击 报 文 的 发 送 。 如 规定 
在 一 定时 间 内 ,节点 发 包 数 量 不 能 超过 某 个 阔 值 。 

2) 重 放 攻 击 

可 以 通过 对 数据 包 赋 予 时 效 性 来 抵御 重 放 攻 击 ,在 加 密 的 数据 包 里 添加 时 间 戳 或 者 通 
过 报 文 鉴别 码 MAC 对 所 有 报 文 (传输 协议 中 包头 的 控制 部 分 ) 进 行 鉴别 ,发 现 并 防止 攻击 
者 通过 伪造 报 文 来 破坏 同步 机 制 。 
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8.3.4 传感器 网 络 典型 安全 技术 


本 节 详 细 分 析 传感器 网 络 密 钥 算法 、 安 全 协议 、 密 钥 管理 .身份 认证 、 安 全 路 由 .人 侵 检 
测 `.DoS 攻击 .访问 控制 等 技术 。 


1. 传感器 网 络 加 密 技 术 


加 密 是 一 种 基本 的 安全 机 制 , 它 把 传感器 节点 间 的 通信 消息 转换 为 密 文 ,形成 加 密 密 
是 ,这些 密 文 只 有 知道 解密 密 匙 的 人 才能 识别 。 在 许多 应 用 场合 ,敏感 数据 在 传输 过 程 中 需 
要 加 密 。 然 而 ,由 于 传感器 节点 的 内 存 、 计 算 、 能 量 和 带宽 的 限制 ,不 能 使 用 一 些 典 型 但 计算 
过 于 复杂 或 由 于 加 密 导 致密 文 过 长 的 数据 加 密 算法 。 本 章 接 下 来 将 讨论 一 些 适合 传感器 网 
络 的 典型 数据 加 密 算法 方法 ,并 对 它们 进行 适当 的 分 析 。 

1) 对 称 密 钥 加 密 算 法 

(1) TEA 加 密 算法 。DavidJ. Wheeler 等 人 提出 了 一 种 微型 加 密 算法 (Tiny Encryption 
Algorithm,TEA)。 该 对 称 分 组 加 密 算 法 采用 迭代 .加 减 而 不 是 异 或 操作 来 进行 可 逆 操 作 ， 
它 是 一 种 Feistel 类 型 的 加 密 算 法 。Shauang Liu 等 人 在 传感器 Mote 上 进行 实验 ,在 实验 
设 定 的 不 同 频率 发 包 下 ,使 用 TEA 算法 使 得 发 送 消息 包 时 间 间 隔 平 均 增 加 了 43%。TEA 
算法 的 优点 是 至 今 未 能 破解 密 文 .占用 极 小 的 内 存 和 计算 资源 。 它 的 一 个 缺陷 是 在 每 64 位 
组 内 , 当 第 32 位 及 64 位 一 同 发 生 改 变 时 ,TEA 算法 无 法 检测 到 这 种 变化 。 另 外 , 它 的 安全 
性 还 没 经 过 严密 的 安全 审查 。 

(2) RC5,RC6 加 密 算 法 。RC5 是 1994 年 由 MIT 的 RonaldL. Rivest 等 人 提出 的 一 种 
快速 对 称 加 密 算 法 。 使 用 加 法 、. 异 或 和 循环 左 移 三 个 基本 操作 实现 加 密 。 它 的 特点 是 适合 
硬件 和 软件 实现 ,快速 .可 变 块 长 .可 变 长 度 密 钥 ,简单 高 安全 性 和 使 用 依赖 于 数据 的 循环 移 
位 等 。 该 算法 中 循环 移 位 是 唯一 的 线性 部 分 ,与 数据 相关 循环 移 位 运算 将 使 得 线性 和 差分 
密码 分 析 更 加 困难 。RC6 算法 是 在 RC5 算法 基础 之 上 针对 RC5 算法 中 的 漏洞 ,通过 引入 
乘法 运算 来 决定 循环 移 位 次 数 的 方法 ,对 RC5 算法 进行 了 改进 ,提高 了 RC5 算法 的 安全 
性 。 然 而 RC6 算法 相对 复杂 ,执行 效率 也 远 比 RC5 算法 低 。AdrianPerrig 等 人 在 传感器 网 
络 安全 协议 SPINS 中 ,采用 RC5 子 集 、 裁 前 代码 等 方法 ,使 得 代码 量 减 少 了 40% ,并 在 
BerkeleySrnartDust 实现 了 该 算法 。 该 算法 的 优点 是 安全 性 高 。 它 的 缺点 是 相对 传感器 网 
络 来 说 资源 耗费 比较 大 。 另 外 ,Perrig 等 人 的 改写 算法 还 需要 进一步 实践 证 明 ; 并 且 RC5 
本 身 也 容易 受到 暴力 攻击 ; RC5 需要 计算 初始 计算 密 钥 ,将 浪费 额外 的 节点 RAM 字 节 数 。 

2) 非 对 称 密 钥 加 密 算 法 

(1) RSA。RSA 公 钥 算法 是 第 一 个 比较 完善 的 公开 密 钥 算 法 , 它 既 能 用 于 加 密 , 也 能 
用 于 数字 签名 。RSA 方案 自在 1978 年 首次 公布 之 后 ,已 经 经 受 了 多 年 深入 的 密码 分 析 , 虽 
然 密码 分 析 者 不 能 证 明 也 不 能 和 否定 RSA 的 安全 性 ,但 这 恰恰 说 明了 该 算法 有 一 定 的 可 信 
度 。RSA 方案 目前 已 经 得 到 了 广泛 的 应 用 ,在 公 钥 加 密 算法 中 是 比较 流行 的 。 由 于 RSA 
是 最 容易 理解 和 实现 的 .也 由 于 RSA 的 地 位 ,有 必要 研究 一 下 这 个 算法 。 

RSA 的 安全 是 基于 大 数 分 解 的 难度 ,是 一 种 分 组 加 密 方法 。 其 公开 密 钥 和 私人 密 钥 是 
一 对 大 素数 (100 一 200 个 十 进 制 数 或 是 更 大 ) 的 函数 。 从 一 个 公开 密 钥 和 密 文中 恢复 出 明 
文 的 难度 等 价 于 分 解 两 个 大 素数 之 积 。 
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为 了 产生 两 个 密 钥 ,选取 两 个 大 素数 p 和 g。 为 了 获得 最 大 程度 的 安全 性 ,两 数 的 长 度 
一 样 。 计 算 乘 积 : n 二 pXg。 

然后 随机 选取 加 密 密 钥 。, 使 。 和 (z 一 1)(q 一 1) 互 素 。 最 后 用 欧 几 里 德 扩展 算法 计算 
解密 密 钥 4& ,以 满足 ed 二 1(mod(p 一 1)(g 一 1))。 

d 二 e+mod((p 一 1)(g 一 1)), 其 中 4 和 nn 也 互 素 。e 入 是 公开 密 钥 ,d 是 私人 密 钥 。 
两 个 素数 p 和 g 不 再 需要 ,它们 应 该 被 舍弃 ,但 绝 不 可 泄露 。 

(2) Diffe-Huffman。Diffe-Huffman 算法 是 基于 离散 对 数 计算 的 困难 性 。 

(3) 椭圆 曲线 密码 算法 (ECC)。 椭 圆 曲 线 密码 算法 是 由 NeilKoblitz 和 VictorMiller 两 
位 学 者 分 别 在 1985 年 提出 的 。RSA 系统 中 需要 使 用 1024 位 的 模 数 才能 达到 的 安全 等 级 ， 
椭圆 曲线 密码 算法 只 需要 160 位 模 数 即 可 , 且 传送 密 文 和 签名 所 需要 的 频 宽 较 少 , 现 已 经 列 
和 人 IEEE 1363 标准 。 

许多 研究 者 正 尝试 着 在 传感器 节点 上 实现 公 钥 运算 。Gum 等 在 8 位 微 控制 器 上 实现 
ECc 和 RSA 并 比较 它们 的 性 能 。DavidJ. Malan 等 人 第 一 次 在 传感器 MICA2Mote 上 实现 
了 RSA 公 钥 加 密 一 一 椭圆 曲线 加 密 。RonaldWatro 等 人 也 在 TinyPk 中 使 第 三 方 节点 加 
入 传感器 网 络 时 可 以 安全 地 传输 会 话 密 钥 给 第 三 方 ,采用 了 RSA 加 密 和 Diffie-Hellman 密 
钥 交 换 。 此 外 ,由 于 基站 的 资源 限制 较 少 ,因此 在 基站 中 多 采用 PKI 技术 进行 传感器 节点 
的 身份 认证 。Benenson 等 基于 EccM 库 设 计 用 户 认证 协议 ,并 在 TelosB 节点 上 实现 ,但 是 
认证 需要 几 分钟 。Sizzle 使 用 ECC 将 标准 的 SSL 在 传感器 网 络 中 实现 。 现 有 传感器 网 络 
访问 控制 主要 是 基于 公 钥 体制 。HaodongW 等 提议 基于 椭圆 曲线 密码 的 传感器 网 络 访 问 
机 制 。 

随 着 技术 的 进步 ,传感器 节点 的 能 力也 越 来 越 强 。 原 先 被 认为 不 可 能 应 用 的 密码 算法 
的 低 开销 版 本 开始 被 接受 。 低 开销 的 密码 算法 依然 是 传感器 网 络 安全 研究 的 热点 之 一 。 


2. 网 络 密 钥 管 理 技术 


密 钥 管 理 是 传感器 网 络 的 安全 基础 。 密 钥 管 理 的 目的 是 确保 密 钥 的 安全 性 (真实 性 和 
有 效 性 ) ,但 是 由 于 无 线 传感器 网 络 的 特性 如 无 线 多 跳 通信 、 大 规模 分 配 在 未 被 保护 /敌对 区 
域 资 源 受 限 、 节 点 容易 被 捕获 等 ,使 得 传统 Internet 网 络 或 移动 AdHoc 网 络 的 密 钥 管理 机 
制 很 难 直 接应 用 于 传感器 网 络 。 因 此 , 密 钥 管理 已 成 为 目前 传感器 网 络 安全 研究 的 一 个 重 
要 组 成 部 分 。 

传感器 网 络 密 钥 管理 的 目标 是 在 所 有 需要 安全 数据 交换 的 节点 间 建 立 共享 密 钥 ,并且 
支持 新 加 入 的 传感器 节点 能 与 网 络 中 其 他 节点 建立 共享 密 钥 ,以 及 能 比较 方便 地 在 网 络 中 
更 新 密 钥 .撤销 已 经 或 可 能 泄露 的 密 钥 (如 传感器 节点 被 捕 俘 或 失效 时 ,可 能 泄露 密 钥 ) 。 此 
外 , 密 钥 管理 还 需 保 证 未 通过 认证 的 节点 不 能 和 网 络 节点 建立 通信 链 路 ,对 网 络 性 能 影响 尽 
可 能 小 等 。 简 单 地 说 ,传感器 网 络 密 钥 管 理 研究 主要 考虑 的 因素 包括 : 

(1) 机 制 能 安全 地 分 发 密 钥 给 传感器 节点 ; 

(2) 共享 密 钥 发 现 过 程 是 安全 的 ,能 防止 窃听 ,仿冒 等 攻击 ; 

(3) 部 分 密 钥 泄露 后 对 网 络 中 其 他 正常 节点 的 密 钥 安全 威胁 不 大 ; 

(4) 能 安全 和 方便 地 进行 密 钥 更 新 和 撤销 ; 

(5) 密 钥 管理 机 制 对 网 络 的 连通 性 、 可 扩展 性 影响 小 ,网 络 资源 消耗 少 等 。 
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密 钥 管理 机 制 研究 的 一 般 前 提 假 设 是 传感器 网 络 资源 十 分 有 限 ; 传感器 节点 部 署 在 未 
被 保护 或 敌对 区 域 ,容易 被 捕获 而 泄露 密 钥 ; 传感器 节点 部 署 前 ,不 能 预知 节点 的 周边 环境 
和 精确 位 置 。 

目前 针对 无 线 传感器 网 络 提出 的 密 钥 管理 机 制 主要 有 : 

1) 基于 公开 密 钥 的 密 钥 管理 

DavidJ. Malan 等 人 提出 了 基于 椭圆 曲线 的 密 钥 管理 机 制 。 在 MICA2 平台 上 , 它 能 在 
34s 内 产生 公 和 钥 和 完成 私 钥 分 发 。RonaldWatro 等 人 在 TinyPk 中 设计 实现 了 基于 PKI 技 
术 的 加 密 协议 ,该 协议 使 得 第 三 方 加 入 传感器 网 络 时 ,可 以 安全 地 传输 会 话 密 钥 给 第 三 方 。 
其 过 程 如 下 : 传感器 在 收 到 第 三 方 发 来 的 消息 包 时 ,用 预 分 配 的 CA 公 钥 鉴别 该 包 , 如果 成 
功 , 抽 取消 息 包 的 第 一 部 分 即 第 三 方 自己 的 公 钥 PK ,随后 抽取 消息 包 的 第 二 部 分 即时 间 惟 
和 校 验 和 ,一 旦 通过 验证 ,第 三 方 成 功 被 认为 是 被 授权 的 实体 。 然 后 ,传感器 节点 用 第 三 方 
的 公 钥 PK 对 会 话 密 铀 和 时 间 惟 进行 加 密 后 送 回 第 三 方 ,如 果 第 三 方 用 自己 的 私 钥 解 密 后 
发 现 这 个 时 间 惟 是 它 发 送 的 ,就 保存 这 个 会 话 密 钥 供 将 来 和 传感器 网 络 通信 使 用 。TinyPk 
实现 了 基于 PKI 技术 的 传感器 网 络 与 第 三 方 网 络 的 认证 通信 ,节点 抗 捕获 性 能 和 网 络 扩展 
性 较 好 。 其 缺点 是 对 第 三 方 的 私 钥 被 捕获 没有 提供 机 制 来 进行 检测 发 现 。 另 外 ,这 些 基 于 
公 钥 的 密 钥 管理 因为 消耗 资源 大 ,并 不 适合 一 些 资源 紧张 的 传感器 网 络 使 用 。 

2) 基于 随机 密 钥 预 分 配 的 密 钥 管理 

随机 密 钥 分 配方 案 是 Esehenauer 和 Gligor 最 早 提出 的 。 他 们 首先 提出 了 随机 密 钥 预 
分 配 机 制 。 在 密 钥 预 分 配 时 ,从 含有 个 密 钥 的 密 钥 池 中 随机 取出 m 个 密 钥 并 组 成 密 钥 环 
分 配给 每 个 传感器 节点 。 在 给 定 的 m,n 值 下 ,任意 一 对 节点 之 间 以 p 的 概率 共享 至 少 一 个 
密 钥 。 部 署 后 启动 密 钥 发 现 机 制 , 每 个 节点 对 预 分 配 的 密 钥 ID 信息 进行 广播 ,邻居 收 到 后 ， 
直接 在 自己 的 密 钥 环 中 找到 匹配 的 共享 密 钥 。Esehenauer 和 Gligor 把 密 钥 管理 分 成 三 个 
阶段 , 即 密 钥 预 分 布 ,共享 密 钥 发 现 和 路 径 密 钥 建立 阶段 。 

这 种 方法 的 优点 是 实现 了 端 到 端的 加 密 , 并 且 很 容易 在 新 节点 加 入 时 进行 密 钥 分 配 。 
缺点 是 攻击 者 能 根据 窃听 到 的 密 钥 ID 和 捕获 的 密 钥 ,构造 出 一 个 优化 的 密 钥 集合 ,这 就 可 
能 造成 整个 网 络 的 密 钥 失效 。 解 决 方法 是 通过 每 个 节点 发 送 一 个 由 m 个 谜语 组 成 的 信息 
( 密 钥 环 中 一 个 密 钥 对 应 一 个 谜语 ) 给 邻居 节点 ,邻居 节点 在 正确 回答 谜语 后 ,认定 是 合法 节 
点 ,并 发 现 和 建立 共享 对 密 钥 。 在 共享 对 密 钥 建立 后 ,形成 一 张 安全 链 路 连接 图 。 对 于 节点 
间 的 通信 ,可 以 在 图 中 发 现 一 条 路 径 , 使 用 路 径 密 钥 保证 从 源 节点 到 目的 节点 的 通信 安全。 
由 于 概率 建立 连接 ,该 图 可 能 不 是 全 联通 的 ,如 果 传 感 器 网 络 检测 到 不 联通 ,传感器 节点 可 
通过 增加 发 射 功率 ,扩大 信和 号 覆盖 范围 或 通过 其 他 中 间 节 点 协助 建立 共享 密 钥 来 进行 联通 。 
该 方法 的 代价 是 需要 消耗 更 多 的 节点 资源 。 

q-composite 随机 密 钥 预 分 配 机 制 是 对 随机 密 钥 分 配 模型 的 一 种 改进 。 它 在 密 钥 预 分 
配 时 要 求 两 个 节点 密 钥 环 中 至 少 有 g 个 密 钥 相 同 才能 建立 共享 密 钥 。 该 机 制 使 得 攻击 者 构 
造 优化 的 密 钥 集合 进行 攻击 更 加 困难 。 尽 管 g 的 增加 使 得 安全 性 提高 了 ,但 是 在 给 定 的 概 
率 p 和 传感器 节点 的 物理 资源 (如 内 存 ) 限 制 下 ,gq 的 增加 必然 使 得 密 钥 池 的 密 钥 总 数 减 少 ， 
对 于 攻击 者 来 说 ,捕获 的 密 钥 将 是 一 个 很 大 的 密 钥 池 样 本 。 于 是 产生 了 一 个 对 g 的 优化 问 
题 ,以 使 得 网 络 安全 最 大 化 。 实 验证 明 ,q-composite 随机 密 钥 预 分 配 机 制 对 于 小 规模 的 攻 
击 有 很 好 的 抵抗 性 ,但 大 规模 的 攻击 将 大 大 减少 网 络 的 安全 性 ,幸运 的 是 大 规模 攻击 是 昂贵 
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并 容易 被 检测 到 的 。 相 比较 而 言 ,.q-composite 随机 密 钥 预 分 配 机 制 具 有 更 高 的 安全 性 。 

3) 基于 密 钥 分 类 的 密 钥 管理 

SeneunZhu 等 人 在 LEAP 中 ,根据 不 同类 型 的 信息 交换 需要 不 同 的 安全 要 求 ( 如 路 由 
信息 广播 无 须 加 密 , 而 传感器 送 到 基站 的 信息 必须 加 密 等 ) ,提出 了 每 个 节点 应 该 拥有 4 种 
不 同类 型 的 密 钥 : 和 基站 共享 的 密 钥 ,与 其 他 节点 共享 的 对 密 钥 K, 和 邻居 节点 共享 的 
簇 密 钥 开 。, 以 及 与 所 有 节点 共享 的 密 钥 Ke 。 对 于 基站 共享 的 密 钥 K, ,LEAP 建议 采用 计 
算 开销 比较 小 的 伪 随 机 函数 ,并 预先 装 入 到 各 个 节点 中 。 在 部 署 对 密 钥 K, 时 ,通过 预先 分 
配 的 KK,,K, 派生 出 主 密 钥 天。 以 和 时 间 戳 对 邻居 节点 进行 认证 后 建立 对 密 钥 。 建 立 对 密 钥 
的 好 处 是 当 节 点 被 捕获 时 ,不 会 影响 其 他 没有 和 捕获 节点 有 相同 对 密 钥 的 节点 的 安全 ,这 样 
就 可 以 把 安全 威胁 局 限于 网 络 的 很 小 范围 内 。 在 建立 对 密 钥 后 ,就 可 以 用 对 密 钥 加 密 直 接 
建立 簇 密 钥 K.。 有 两 种 方法 分 发 所 有 节点 共享 的 密 钥 K。。 方 法 一 是 基站 用 自己 的 簇 密 钥 
加 密 , 然 后 广播 ,其 他 节点 收 到 后 解密 得 到 ,然后 再 用 自己 的 密 钥 加 密 后 再 广播 , 依 此 类 推 。 
方法 二 是 预先 分 配 K,。 

这 两 种 方法 都 有 缺点 ,前 者 中 由 于 每 个 节点 加 密 , 解 密使 得 计算 和 通信 量 较 大 ,耗费 了 
资源 。 后 者 如 果 一 个 节点 的 K。 被 捕获 的 话 , 不 得 不 更 新 K。。 更 新 Ks 时 ,可 以 利用 天, 对 
天 * 加 密 , 分 发 Ke。 不 幸 的 是 ,由 于 通信 和 计算 代价 随 着 网 络 的 扩大 而 线性 增加 ,因此 这 种 
方法 限制 了 网 络 的 伸缩 性 。 另 外 ,LEAP 建议 使 用 簇 密 钥 来 加 密 广播 消息 ,避免 了 用 对 密 钥 
加 密 阻 止 其 他 节点 的 被 动 参与 问题 。 作 者 没有 提出 轻 量 级 的 协议 来 对 付 内 部 攻击 。 该 机 制 
也 不 能 防止 欺骗 , 算 改 和 回放 攻击 。 采 用 对 密 钥 可 以 防止 Sybil 攻击 ,但 是 不 能 防止 
Sinkhole 攻击 。 对 几 类 密 钥 机 制 的 性 能 分 析 如 下 : 

(1) 基站 和 各 节点 分 别 共享 一 个 独一无二 的 密 钥 , 作 为 各 节点 和 基站 之 间 通 信 数 据 的 
认证 加 密 密 钥 。 在 传感器 节点 部 署 后 ,基站 作为 第 三 方 认证 双方 建立 密 钥 。 该 方法 假设 一 
个 节点 和 基站 之 间 能 可 靠 传递 信息 ,并且 在 节点 对 密 钥 建立 前 能 安全 通信 。 该 假设 的 问题 
是 实现 比较 困难 。 尽 管 可 采用 泛 洪 的 方法 ,少数 恶意 节点 不 能 阻止 节点 和 基站 间 的 通信 ,但 
是 泛 洪 却 使 得 网 络 的 规模 受 限 。 该 密 钥 机 制 的 优点 是 内 存 消耗 量 小 ; 能 有 效 对 抗 节点 捕 
获 , 即 使 节点 被 捕获 而 泄露 密 钥 ,也 不 会 影响 到 其 他 传感器 节点 的 安全 通信 ; 撤销 节点 密 钥 
简单 ,因为 每 个 节点 的 安全 链 路 被 存储 在 基站 ,如 果 基 站 发 现 一 个 节点 的 安全 链 路 数 很 多 ， 
可 以 认定 该 节点 被 捕获 了 ,因此 节点 复制 攻击 容易 得 到 控制 。 它 的 主要 缺点 是 通信 开销 较 
高 ,不 利于 网 络 扩充 。 另 外 ,基站 是 一 个 重要 的 攻击 目标 ,而 且 通 信 瓶 颈 问题 更 加 突出 。 

(2) 整个 网 络 共享 一 个 密 钥 并 附加 报 文 鉴别 码 。 这 种 机 制 消耗 传感器 节点 的 最 小 内 
存 , 能 在 一 定 程度 上 阻止 DoS 攻击 和 报 文 的 算 改 。 它 的 主要 缺点 是 一 个 节点 被 捕获 就 会 导 
致 整个 网 络 的 密 钥 泄露 。 

(3) 任意 节点 间 共 享 对 密 钥 机 制 。 对 一 个 含 n 个 节点 的 网 络 来 说 ,为 了 任意 两 个 节点 
能 进行 通信 , 共 需 n(n 一 1)/2 个 对 密 钥 ,每 个 节点 需要 存储 n 一 1 个 对 密 钥 。 对 密 钥 的 优点 
是 很 好 地 降低 了 节点 被 捕获 对 整个 网 络 的 安全 威胁 ; 撤销 对 密 钥 也 比较 容易 ; 使 用 对 称 密 
钥 能 有 效 防止 DoS 攻击 。 缺 点 是 网 络 的 扩展 性 不 好 ; 增加 新 节点 时 , 密 钥 分 配 比 较 麻烦 ; 
另外 阻止 了 其 他 节点 对 广播 信息 的 被 动 参与 。 

(4) 簇 密 钥 机 制 。 使 用 簇 密 钥 来 加 密 广播 消息 ,避免 了 用 对 密 钥 认证 而 阻止 节点 的 被 
动 参与 问题 。 


4) 基于 位 置 的 密 钥 管理 

DonggangLiu 等 提出 了 一 种 用 于 静态 传感器 网 络 的 基于 位 置 的 密 钥 安全 引导 方案 。 该 
方案 是 对 随机 密 钥 对 模型 的 一 个 改进 方案 , 它 基 于 位 置 的 对 密 钥 分 配 中 提出 了 位 置 最 近 对 
密 钥 预 分 配 机 制 和 基于 双 变 量 多 项 式 的 位 置 对 密 钥 分 发 机 制 。DonggangLiu 等 分 析 指 出 该 
算法 在 相同 的 网 络 规模 .相同 的 密 钥 对 存储 容量 的 情况 下 提高 了 两 个 邻接 节点 具有 相同 密 
钥 对 的 概率 ,同时 该 算法 提高 了 网 络 抗击 被 俘 威 胁 的 能 力 。 

最 近 对 密 钥 预 分 配 机 制 的 基本 思想 是 对 一 个 节点 认为 部 署 后 位 置 最 近 的 c 个 节点 
(c 的 大 小 由 节点 的 内 存 大 小 决定 ?进行 预 分 配对 密 钥 。 前 提 假 设 是 部 署 前 ,两 个 事先 认为 
位 置 较 近 的 节点 在 部 署 后 以 较 高 的 概率 部 署 在 相互 有 效 的 信号 通信 范围 内 。 如 果 部 署 后 ， 
两 个 相 邻 节点 u,v 没有 对 密 钥 ,就 通过 各 自 的 邻居 传感器 网 络 认 证 传感器 网 络 认证 技术 主 
要 包含 内 部 实体 之 间 认 证 ,网 络 和 用 户 之 间 认 证 和 广播 认证 。 

节点 i 建立 会 话 密 钥 ( 假 设 u,i 和 v,L 有 对 密 钥 ), 然 后 用 会 话 密 钥 加 密 建立 w,v 的 对 密 
钥 。 在 预 分 配 中 用 伪 随 机 函数 产生 对 密 钥 ,并 且 对 相 邻 节点 u,v 分 为 主 节点 和 副 节点 。 其 
中 仅仅 主 节点 u 存储 对 密 钥 KK,,, 副 节点 v 在 部 署 后 利用 伪 随 机 函数 PRFk(u) 计 算得 到 
K, ,这 样 可 为 预 分 配 密 钥 时 认为 两 个 相 邻 而 实际 分 布 中 不 相 邻 的 节点 节省 内 存 空间 ,但 是 
这 种 方法 是 以 增加 计算 量 为 代价 的 。 在 增加 新 节点 U 时 ,配置 服务 器 取 U 的 相 邻 节点 集 
V, 对 节点 集 的 每 一 个 计算 开 王 PRFk(x) ,并 且 分 发 Ku 给 wx。 这 里 在 主 密 钥 不 被 捕 俘 
时 ,根据 DonggangLiu 的 分 析 , 被 捕获 节点 数量 的 增加 ,其 他 节点 的 对 密 钥 安全 性 能 不 受 
影响 。 

DonggangLiu 等 人 也 提出 了 结合 多 项 式 密 钥 预 分 配 技术 和 位 置 最 近 对 密 钥 分 配 机 制 的 
方法 。 他 把 目标 区 域 划分 成 一 个 个 方 格 ,在 一 个 传感器 确定 布置 在 一 个 方 格 后 ,其 他 相 邻 的 
4 个 方 格 被 赋予 一 个 共享 多 项 式 集 。 在 部 署 后 ,如 果 两 个 节点 需要 建立 对 密 钥 ,就 找到 一 个 
共享 双 变量 的 多 项 式 ,利用 节点 的 ID 和 此 多 项 式 计 算得 到 共享 对 密 钥 。 该 机 制 的 优点 是 网 
络 规 模 受 对 密 钥 的 限制 减少 ,邻居 节点 直接 建立 对 密 钥 的 概率 却 提 高 了 。 

该 机 制 不 受 被 捕获 节点 数量 的 限制 , 即 不 会 随 着 被 捕获 节点 数量 的 增加 ,其 他 节点 的 对 
密 钥 也 被 攻破 。 也 克服 了 因为 节点 不 能 存储 过 多 对 密 钥 而 网 络 大 小 受到 限制 。 此 外 ,该 机 
制 建立 共享 对 密 钥 的 概率 和 阻止 节点 捕获 的 能 力也 增加 了 。 

DijiangHuang 也 提出 了 基于 位 置 的 密 钥 管理 方案 。 不 同 的 是 他 们 不 是 从 密 钥 池 里 随 
机 取出 密 钥 (随机 密 钥 预 分 配 RKP 机 制 在 前 面 已 有 较 多 的 阐述 ), 而 是 从 结构 化 的 密 钥 池 
中 选取 密 钥 分 配给 每 个 传感器 节点 。 分 析 说 明 他 们 的 密 钥 预 分 配 需 要 较 少 的 密 钥 数量 给 每 
个 传感器 节点 以 建立 对 密 钥 ,能 防止 选择 性 节点 捕获 攻击 和 节点 仿 骨 攻击 。 

5) 基于 多 密 钥 空间 的 对 密 钥 预 分 配 模型 

在 单 密 钥 空间 (Single-Space) 建 立 共享 对 密 钥 机 制 中 ,Blom 的 机 制 和 多 项 式 机 制 要 求 
一 个 传感器 节点 i 存储 一 个 独一无二 的 公开 信息 U; 和 私有 信息 Vij, 节 点 i 能 通过 FF(V;， 
U;) 计 算 它 和 节点 j 的 共享 密 钥 ; ,函数 下 具有 下 (V;,U;) 二 F(Vj,U;) 的 性 质 。Blom 的 机 
制 和 多 项 式 机 制 都 保证 了 4 安全 属性 。 也 就 是 说 ,在 少 于 4 个 节点 被 捕 俘 时 ,对 其 他 节点 之 
间 的 对 密 钥 安 全 没有 影响 。 

基于 多 密 钥 空间 (Multi-Space) 的 对 密 钥 机 制 能 有 效 提 高 基于 单 密 钥 机 制 的 安全 性 。 
它 是 密 钥 池 机 制 和 单 密 钥 空间 机 制 的 结合 。 配 置 服务 器 随机 生成 一 个 含有 m 个 不 同 密 钥 
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空间 的 池 。 如 果 两 个 相 邻 节点 有 一 个 以 上 的 密 钥 空间 相同 ,它们 能 通过 此 单个 密 钥 空间 机 
制 建立 对 密 钥 。 

在 多 密 钥 空间 的 对 密 钥 预 分 配 模型 下 , Wenliang Du 分 析 了 至 少 一 个 密 钥 空间 被 解密 
的 概率 和 在 工 个 节点 被 俘虏 相框 下 其 他 通信 信道 被 破解 的 概率 。 分 析 结果 表明 ,在 相同 存 
储 空间 的 支持 下 ,该 模型 比 随机 密 钥 对 模型 表现 得 更 好 。 

在 传感器 网 络 中 ,将 多 密 钥 空间 的 对 密 钥 预 分 配 模型 和 单 密 钥 空 间 的 对 密 钥 预 分 配 模 
型 相 结合 ,配置 服务 器 随机 生成 一 个 含有 多 个 不 同 密 钥 空间 的 池 。 如 果 两 个 相 邻 的 节点 有 
一 个 以 上 的 密 钥 空间 相同 ,那么 它们 能 通过 此 单个 密 钥 空间 机 制 建立 对 密 钥 。 建 立 对 密 钥 
的 优点 是 能 降低 在 节点 被 捕获 后 对 整个 网 络 的 安全 威胁 。 缺 点 是 网 络 的 扩展 性 不 好 ; 增加 
新 节点 时 ,建立 对 密 钥 比较 麻烦 。 另 外 ,对 密 钥 也 阻止 了 节点 对 广播 信息 的 被 动 参与 。 

6) 基于 多 路 径 密 钥 加 强 的 密 钥 管理 

Anderson 和 Perrig 首先 提出 了 基于 多 路 径 密 钥 加 强 的 密 钥 管理 机 制 , 目 的 是 为 了 解决 
节点 密 钥 被 捕获 时 ,其 他 未 捕获 的 节点 对 如 A、B 节点 也 可 能 共享 着 这 个 密 钥 ,这 就 导致 了 
AB 链 路 通信 安全 存在 着 严重 的 威胁 。 该 机 制 的 基本 思想 是 利用 多 条 路 径 发 送 加 密 相关 信 
息 ,使 得 网 络 窃听 和 和 密 钥 捕获 更 加 困难 。 假 如 AB 间 有 j 条 路 径 , A 产生 j 个 随机 值 
(VV,…,Vj) ,为 防止 窃听 ,从 不 同 的 j 条 路 径 发 给 B, 然 后 建立 新 的 密 钥 Ki 一 KV 四 
友 四 … 中 Vi。 节点 BB 使 用 先前 收 到 的 随机 数 (Vi,…,V;) 和 密 钥 KK 解密 。 在 AB 间 路 径 越 
多 ,路 径 密 钥 加 强 越 能 提供 AB 链 路 安全 ,但 是 路 径 越 长 越 可 能 使 得 路 径 中 的 某 段 链 路 被 窃 
听 , 以 致 整 条 路 径 不 安全 。Anderson 等 人 建议 用 两 跳 的 多 路 径 密 钥 加 强 机 制 。 这 样 的 好 处 
是 在 路 径 发 现时 , 报 文 开 销 比较 小 。 另 一 个 优点 是 不 需要 保存 这 些 路 径 的 路 由 信息 。 
q-composite 随机 密 钥 预 分 配 机 制 和 多 路 径 密 钥 增 强 都 使 得 窃听 比较 困难 。 然 而 q-composite 
随机 密 钥 分 配 机 制 以 密 钥 池 密 钥 数 量 减 少 为 代价 ,而 多 路 径 增强 则 是 以 增加 网 络 的 负荷 为 
代价 。 对 多 路 径 增强 来 说 ,是 否 值得 使 用 主要 看 实际 应 用 需要 和 传感器 网 络 的 布置 密度 。 

设计 密 钥 管理 机 制 除了 考虑 节点 间 能 建立 起 安全 通信 外 ,还 必须 考虑 未 来 追加 的 节点 
也 能 建立 安全 通信 机 制 ; 防止 通过 数据 包 截获 或 仿冒 节点 加 入 网 络 ; 当 节 点 被 捕获 时 ,网 
络 应 具有 抗 毁 性 ,撤销 被 捕获 节点 的 密 钥 ; 密 钥 机 制 不 影响 网 络 的 伸缩 性 等 。 


3. 安全 架构 和 协议 


鉴于 传感器 网 络 面临 的 诸多 安全 威胁 ,为 传感器 设计 合适 的 安全 机 制 已 迫在眉睫 。 本 
小 节 主 要 介绍 无 线 传感器 网 络 安全 的 整体 解决 方案 。 

1) 安全 协议 SPINS 

SPINS 安全 协议 主要 由 安全 加 密 协 议 SNEP(Secure Net Work Encryption) 和 认证 流 
广播 nTESLA(Microtime Deficient Striming Loss-tolerant) 两 部 分 组 成 。SNEP 主要 考虑 
加 密 , 双 向 认证 和 新 鲜 数 据 (Freshdata) 。 而 xTESLA 主要 在 传感器 网 络 中 实现 认证 流 安 
全 广播 。SPINS 提供 点 对 点 的 加 密 和 报 文 的 完整 性 保护 。 通 过 报 文 鉴别 码 实现 双方 认证 
和 保证 报 文 的 完整 性 。 消 息 验 证 码 由 密 钥 .计数 器 值 和 加 密 数 据 混合 计算 得 到 。 用 计数 器 
值 和 密 钥 加 密 数 据 , 节 点 之 间 的 计数 器 值 不 用 加 密 交 换 。 有 两 种 防止 DoS 攻击 的 方法 : 一 
是 节点 间 的 计数 器 进行 同步 ; 二 是 对 报 文 添 加 另 一 个 不 依赖 于 计数 器 的 报 文 鉴别 码 。 
SNEP 的 特点 是 保证 了 语义 安全 ,数据 认证 ,回放 攻击 保护 和 数据 的 弱 新 鲜 性 ,并 且 有 较 小 


的 通信 量 。 

在 wTESLA 中 , 它 克 服 了 TESLA 计算 量 大 ,占用 包 的 数据 量 大 (二 50%) 和 耗费 太 多 
内 存 的 缺点 ,继承 了 中 间 节 点 可 相互 认证 的 优点 (可 以 提高 路 由 效率 )。ATESLA 通过 延迟 
对 称 密 钥 的 公开 ,实现 广播 认证 机 制 。 密 钥 链 中 的 报 文 鉴别 码 密 钥 采用 一 个 公开 的 单 向 函 
数 下 计算 得 到 , K; 二 F(K;41)。 因 此 在 节点 已 经 知道 后 ,就 能 对 下 一 个 节点 。 进 行 认证 
鉴别 。 

SPINS 实现 了 认证 路 由 机 制 和 节点 到 节点 间 的 密 钥 合作 协议 ,在 30 个 字 节 的 包 中 仅 
有 6 个 字 节 用 于 认证 、 加 密 和 保证 数据 的 新 鲜 性 。 它 的 缺点 是 没有 详细 地 提出 无 线 传感器 
网 络 的 安全 机 制 。 另 外 ,SPINS 假设 节点 不 会 泄露 网 络 中 所 有 密 钥 , 也 没 解决 通过 较 强 信 
号 阻塞 无 线 信道 的 DoS 攻击 等 。jTESLA 要 求 基站 和 每 个 节点 保持 共享 对 称 密 钥 ,实际 上 
在 AdHoe 网 上 配置 是 比较 困难 的 。 

2) 安全 链 路 层 架 构 TinySee 

TmySee 是 一 种 无 线 传感器 网 络 的 安全 链 路 层 架构 , 它 的 设计 主要 集中 考虑 数据 包 鉴 
别 , 完 整 性 和 数据 加 密 等 方面 。 加 密 方法 采用 Skipjack 块 加 密 方法 或 RC5。 为 了 防止 回放 
攻击 ,节点 使 用 计数 器 和 邻居 表 ( 只 有 在 节点 的 邻居 表 中 的 节点 才能 和 该 节点 通信 ) 使 初始 
向 量 信 达到 同样 的 明文 经 过 两 次 加 密 后 得 到 不 同 密 文 的 效果 。 为 了 防止 由 于 初始 向 量 人 的 
重复 使 用 而 可 能 导致 加 密 失败 ,TinySec 使 用 8 位 初始 向 量 T ,其 中 后 4 位 由 数据 包 中 的 目 
的 地 址 . 报 文 和 报 文 长 度 三 者 通过 或 操作 来 得 到 ,以 节省 内 存 。 鉴 于 传感器 网 络 的 发 包 速 度 
远 比 其 他 网 络 慢 , 在 网 络 有 效 期 内 ,8 位 初始 向 量 难以 出 现 重 复 ,保证 了 加 密 的 安全 性 。 
该 机 制 用 密码 块 链 消息 验证 码 CBC-MAC 替代 链 路 层 的 循环 码 校 错 CRC, 并 提出 了 使 用 组 
共享 密码 的 方法 ,以 便 其 他 节点 加 入 网 络 和 进行 区 域 广播 。 实 验 显示 ,采用 TinySee, 在 网 
络 能 量 消耗 、 延 迟 和 带宽 消耗 上 均 小 于 10% 。 

TinySee 的 优点 是 详细 实现 了 传感器 网 络 链 路 层 的 安全 协议 ,能 量 消 耗 、 延 迟 和 带宽 消 
耗 比较 小 ,提供 了 传感器 安全 进一步 研究 的 基础 平台 。 其 缺点 是 对 消耗 资源 攻击 .物理 筑 改 
和 捕获 节点 攻击 等 问题 没有 考虑 。 

3) 基于 基站 和 节点 通信 的 安全 架构 

Avancha 等 人 假设 传感器 节点 仅仅 向 计算 能 力 很 强 且 安 全 的 基站 报告 数据 ,提出 了 基 
站 与 节点 通信 的 安全 架构 。 该 架构 使 用 两 种 密 钥 : 一 种 是 基站 和 所 有 传感器 共享 的 64 位 
密 钥 Ks , 另 一 种 是 基站 单独 和 每 个 传感器 节点 j 共享 的 密 钥 K;。 在 基站 中 存 有 路 由 表 、K; 
密 钥 表 和 活动 表 。 活 动 表 负 责 记录 每 个 节点 的 路 由 失败 次 数 和 被 破坏 包 的 数量 。 在 基站 向 
传感器 节点 发 消息 的 时 候 , 对 目的 地 址 ) 和 数据 采用 天 ; 加 密 ; 节点 i 向 基站 传输 数据 的 时 
候 ,前 导 码 用 Ke 加 密 。 地 址 ; 和 数据 用 KK 加 密 , 基 站 收 到 后 ,用 Ke 解密 前 导 码 ,根据 前 导 
码 信息 查 密 钥 表 得 到 密 钥 K; ,然后 对 地 址 i 和 数据 解密 。 这 样 做 的 主要 目的 是 阻止 攻击 者 
发 现 传感器 的 数量 和 它们 的 地 址 ,从 而 阻止 攻击 者 进行 流量 分 析 。 另 外 , 当 节点 被 捕获 时 ， 
网 络 也 不 会 瘫痪 。 为 了 隔离 异常 节点 ,基站 采用 轮 询 的 方法 。 如 果 节 点 没有 应 答 ,基站 从 另 
外 可 能 的 路 径 访 问 该 节点 。 如 果 收 到 回答 ,活动 表 中 的 路 由 失败 次 数 记录 值 增加 ,否则 就 从 
路 由 表 中 直接 删除 该 节点 。 在 应 付 DoS 攻击 中 ,由 于 活动 表 中 记录 了 每 个 节点 被 破坏 包 的 
数量 , 当 超过 一 定 阔 值 时 ,在 路 由 表 中 删除 该 节点 。 相 对 于 SPINS,Avaacha 没有 对 广播 包 
进行 验证 。SPINS 使 用 源 路 由 ,比较 容易 进行 流量 分 析 。 而 Avancha 的 方法 采用 广播 和 端 
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到 端的 加 密 , 因 此 难以 进行 流量 分 析 。 另 外 ,在 该 方法 中 提供 了 异常 检测 机 制 和 隔离 异常 节 
点 的 机 制 。 相 对 而 言 ,SPINS 在 减少 代码 上 有 比较 好 的 优势 。 

4) 安全 级 别 分 层 架 构 

Slijepcevic 等 人 提出 了 根据 不 同安 全 级 别 进行 不 同 级 别 加密 的 分 层 模 型 ,目的 是 为 了 
平衡 传感器 网 络 安全 和 资源 消耗 。 文 献 认 为 最 重要 的 是 移动 应 用 码 , 并 且 这 些 包 通信 不 频 
繁 ,适合 采用 比较 高 的 安全 机 制 。 其 次 是 传感器 节点 的 物理 位 置信 息 。 对 于 频繁 传输 的 实 
际 应 用 数据 被 认为 安全 要 求 最 低 。 因 为 RC6 算法 使 用 不 同 的 参数 能 达到 不 同 的 安全 要 求 ， 
因此 Slijepcevic 等 人 建议 采用 该 算法 加 密 。 在 中 间 层 安全 架构 中 ,他 们 提出 了 基于 位 置 的 
密 钥 ,用 主 密 钥 和 位 置信 息 联合 生成 密 钥 。 不 同 之 处 是 采用 蜂窝 模式 ,每 个 蜂窝 单元 内 传 感 
器 节点 共享 基于 位 置 的 密 钥 。 在 每 个 蜂窝 单元 周边 地 带 被 几 个 区 域 的 节点 信和 号 覆盖 ,通常 
在 这 个 地 带 的 传感器 需要 几 个 密 钥 。 因 为 蜂窝 单元 是 边 变形 ,一 个 传感器 在 任何 区 域 最 多 
只 要 三 个 密 钥 。 对 第 三 层 安全 级 别 , 建 议 采 用 MD5 函数 把 主 密 钥 作为 参数 生成 密 钥 。 这 
种 安全 级 别 分 层 的 架构 模型 提供 了 在 资源 有 限 情 况 下 的 网 络 安全 解决 思路 。 然 而 并 不 是 所 
有 实际 应 用 数据 和 频繁 传输 的 信息 都 是 不 重要 的 ,相反 ,在 军事 领域 ,这 些 频 繁 传输 的 信息 
可 能 很 重要 。 加 密 信息 势必 造成 大 量 的 加 密 开 销 ,从 而 导致 Slijepcevie 的 安全 分 层 模型 并 
不 实用 。 另 外 ,文献 假设 传感器 节点 间 精 确 同步 , 实 际 上 难以 实现 。 

5) 安全 协议 LiSP 

TacjoonPark 等 提出 了 一 种 轻 量 级 的 安全 协议 LiSP。LiSP 由 一 个 入 侵 检 测 系 统 和 临 
时 密 钥 TK 管理 机 制 组 成 。 前 者 用 于 检测 攻击 节点 ,后 者 用 于 对 临时 密 钥 TK 的 更 新 ,防止 
网 络 通信 被 攻击 。LiSP 使 用 单 向 加 密 函 数 ,每 个 传感器 节点 使 用 两 个 缓冲 区 存储 密 钥 链 ， 
以 使 得 密 钥 更 新 无 颖 ( 即 密 钥 更 新 时 不 影响 网 络 加 密 操 作 )。 因 为 流 加 密 处 理 比较 快速 ， 
Park 等 人 建议 采用 流 密 钥 加 密 方法 。 周 期 性 的 密 钥 更 新 采用 加 密 Hash 算法 。 另 外 ,LisP 
使 用 传统 的 CSMA 协议 。 在 LiSP 的 架构 中 ,组 成 员 共享 一 个 临时 密 钥 TK ,另外 有 一 个 主 
密 钥 Mk 。 簇 头 利 用 主 密 钥 Mx 单 播 TK 到 簇 内 的 各 个 节点 。 因 为 使 用 簇 的 架构 , 簇 内 成 员 
关系 不 影响 其 他 簇 ,LiSP 实现 了 网 络 的 可 伸缩 性 和 密 钥 的 更 新 。 由 于 簇 尖 是 一 个 簇 的 通信 
量 汇总 中 心 , 入 侵 检 测 系统 被 建议 安装 在 簇 头 中 。 这 样 人 侵 检 测 系统 既 可 以 进行 簇 内 节点 
监控 ,又 防止 了 单 点 失败 引起 的 整个 网 络 瘫痪 。TK 管理 中 由 于 采用 了 单 向 Hash 函数 万 ， 
即 TK; 二 H(TKin1)。 当 i<n 时 ,TK; 二 H"'(TK,)。 男 外 ,对 TK;+1 密 钥 认 证 也 通过 此 也 
数 计 算 认证 。 利 用 双 缓 冲 区 分 别 存储 i 十 2 个 密 钥 串 TK;… TK ;1, 其 中 用 第 一 个 缓冲 区 
的 TK-;-1 加 密 , 当 密 钥 更 新 时 ( 即 加 入 新 的 临时 密 钥 TKi41),TKi+1 加 入 第 一 缓冲 区 ,用 
第 二 缓冲 区 的 TK,-1 加 密 。 更 新 后 , TK-;_ 1 在 两 个 缓冲 区 内 被 丢弃 。 继 续 用 第 一 缓冲 区 
TK,-; 加 密 , 第 二 缓冲 区 的 TK, -在 下 一 次 TK 密 钥 更 新 中 加 密 , 这 样 实现 了 密 钥 的 无 颖 
更 新 。 另 外 ,在 不 连续 收 到 i 个 错误 的 密 钥 时 ,根据 TK, 一 互 "一 (TK,) 可 以 恢复 前 ;个 TK 
密 钥 。LiSP 使 用 了 较 小 的 固定 缓存 区 存储 i 十 2 个 TK 密 钥 ,克服 了 TESLA 在 收 到 正确 的 
密 钥 前 缓存 所 有 的 报 文 。 如 果 有 几 个 密 钥 没有 被 发 现 ,就 会 产生 比较 高 的 延迟 和 占用 较 大 
缓存 的 缺点 。LiSP 密 钥 分 配合 理 ,不 会 因为 少量 TK 密 钥 (二 让 丢失 而 影响 数据 加 密 传输 。 
LiSP 采用 两 个 相 邻 解密 密 钥 TK; 和 TK ;1 尝试 解密 ,以 解决 由 于 时 间 漂 移 , 节 点 通信 时 可 
能 用 不 同 的 密 钥 TK; 和 TK ;41 加 密 的 问题 。 

LiSP 的 优点 是 对 TK 密 钥 的 修改 可 以 通过 认证 鉴别 计算 而 发 现 ; 丢失 的 TK 密 钥 可 
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以 被 恢复 ; 由 于 在 给 定 的 时 间 间 隔 内 有 一 个 独一无二 的 TK, 这 样 就 防止 了 攻击 者 仿冒 以 
前 的 TK 进行 回放 攻击 : 攻击 范围 限制 在 一 个 簇 的 范围 内 等 。LiSP 的 主要 贡献 是 提出 了 
一 种 不 需要 重 传 和 应 答 的 密 钥 广播 机 制 , 它 能 在 开销 较 小 的 情况 下 鉴别 密 钥 的 真 伪 ,发现 和 
恢复 丢失 的 密 钥 ,无 缝 密 钥 更 新 和 人 允许 内 部 节点 一 定量 的 时 钟 漂移 。 

6) 基于 路 由 的 入 侵 容 忍 机 制 

Deng 等 人 提出 了 基于 路 由 的 无 线 传感器 网 络 安全 机 制 INSENS。INSENS 包含 路 由 
发 现 和 数据 转发 两 个 阶段 。 在 路 由 发 现 阶段 ,基站 通过 多 跳 转发 向 所 有 节点 发 送 一 个 查询 
报 文 , 相 邻 节点 收 到 报 文 后 ,记录 发 送 者 的 ID ,然后 发 给 那些 还 没收 到 报 文 的 相 邻 节点 ,以 
此 建立 邻居 关系 。 收 到 查询 报 文 的 节点 同时 向 基站 发 送 自己 的 位 置 拓扑 等 反馈 信息 。 最 
后 ,基站 生成 到 每 个 节点 有 两 条 独立 路 由 路 径 的 路 由 转发 表 。 第 二 阶段 的 数据 包 转 发 就 可 
以 根据 节点 的 转发 表 进行 转发 。 报 文 的 完整 性 通过 密 钥 机 制 加 密 保护 。INSENS 通过 多 路 
径路 由 解决 了 节点 被 捕获 后 消息 可 能 不 能 正确 到 达 目 的 地 的 问题 。 其 根本 目的 是 用 减 小 被 
破坏 链 路 影响 的 方法 来 保证 整个 网 络 的 相对 安全 性 。INSENS 要 求 每 个 节点 保存 路 由 转发 
表 , 用 来 绕 过 恶意 节点 。 实 际 上 该 机 制 中 节点 计算 、 通 信 、 存 储 、 带 宽 消耗 减少 是 以 基站 的 计 
算 和 通信 和 量 增 加 为 代价 。 为 了 防止 恶意 节点 向 一 些 节 点 发 起 能 量 消耗 攻击 ,协议 规定 只 有 
基站 能 广播 消息 ,单个 节点 不 能 广播 信息 到 整个 网 络 。 同 样 ,INSENS 利用 单 向 Hash 函数 
认证 ,防止 节点 假冒 基站 。 为 了 防止 虚假 路 由 信息 ,基站 授权 控制 信息 传播 。 


4. 传感器 网 络 安全 路 由 技术 


路 由 协议 是 传感器 网 络 技术 研究 的 热点 之 一 。 目 前 许多 传感器 网 络 路 由 协议 被 提议 ， 
但 是 这 些 路 由 协议 都 非常 简单 ,主要 是 以 能 量 高 效 为 目的 设计 的 ,没有 考虑 安全 问题 。 事 实 
上 ,传感器 网 络 路 由 协议 容易 受到 各 种 攻击 。 敌 人 能 够 捕获 节点 对 网 络 路 由 协议 进行 攻击 ， 
如 伪造 路 由 信息 .选择 性 前 转 ,污水 池 等 。 受 到 这 些 攻 击 的 传感器 网 络 ,一 方面 无 法 正确 .可 
靠 地 将 信息 及 时 传递 到 目的 节点 ; 另 一 方面 消耗 大 量 的 节点 能 量 ,缩短 网 络 寿命 。 因 此 , 研 
究 传 感 器 网 络 安全 路 由 协议 是 非常 重要 的 。WSN 的 安全 路 由 需要 解决 以 下 问题 : 建立 低 
计算 、 低 通信 开销 的 认证 机 制 以 阻止 攻击 者 基于 泛 洪 节点 执行 DoS 攻击 、 安 全 路 由 发 现 、 路 
由 维护 .避免 路 由 误 操 作 和 防止 泛 洪 攻击 。 

1) Directed Diffusion 协议 

Directed Diffusion 是 一 个 典型 的 以 数据 为 中 心 的 查询 驱动 的 路 由 协议 ,路 由 机 制 包含 
兴趣 扩散 、 梯 度 建立 以 及 路 径 加 强 三 个 阶段 。 在 兴趣 扩散 阶段 ,由 Sink 节点 泛 洪 兴趣 消息 
Interest 到 整个 区 域 或 部 分 区 域内 的 所 有 节点 上 ,Interest 包含 任务 类 型 目标 区 域 . 数 据 发 
送 速率 和 时 间 戳 等 信息 。 当 节点 收 到 邻居 节点 的 兴趣 消息 时 ,如 果 兴 趣 列表 中 不 存在 参数 
类 型 相同 的 表 项 ,就 建立 一 个 新 表 项 保存 此 消息 ; 如 果 存 在 某 些 参数 类 型 相同 的 表 项 , 则 对 
该 表 项 中 的 数据 进行 更 新 ; 如 果 收 到 的 消息 和 刚刚 转发 的 某 条 消息 一 样 , 则 直接 丢弃 此 消 
息 。 梯 度 建立 是 和 兴趣 扩散 阶段 同时 进行 的 ,在 兴趣 扩散 阶段 中 ,节点 在 创建 兴趣 列表 时 ， 
记录 中 已 经 包含 了 邻居 节点 指定 的 数据 发 送 率 即 梯度 。 当 传感器 节点 具有 与 兴趣 匹配 的 数 
据 时 ,就 把 数据 发 送 到 梯度 上 的 邻居 节点 ,并 按照 梯度 上 的 数据 传输 速率 设 定 传感器 模块 采 
集 数据 的 速率 。 由 于 可 能 从 多 个 邻居 节点 收 到 兴趣 消息 ,节点 向 多 个 邻居 节点 发 送 数据 ， 
Sink 节点 可 能 收 到 经 过 多 个 路 径 的 相同 数据 。Sink 节点 收 到 从 源 节 点 发 来 的 数据 后 ,启动 
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建立 到 源 节 点 的 加 强 路 径 , 后 续 数 据 将 沿 着 加 强 路 径 以 较 高 的 数据 速率 进行 传输 。 路 由 加 
强 的 标准 有 多 种 ,例如 数据 传输 延迟 . 链 路 质量 等 都 可 以 作为 路 由 加 强 的 标准 。 假 设 这 里 以 
数据 传输 时 延 为 路 由 加 强 的 标准 ,Sink 节点 选择 首先 发 来 最 新 数据 的 邻居 节点 作为 加 强 路 
由 的 下 一 跳 节点 ,向 该 邻居 节点 发 送 路 由 加 强 消 息 ,邻居 节点 更 新 相应 的 兴趣 列表 项 ,并 按 
照 同样 的 规则 选择 下 一 跳 的 路 由 加 强 节点 。 

DirectedDiffusion 是 一 个 高 效 的 以 数据 为 中 心 的 传感器 网 络 路 由 协议 ,虽然 维持 多 条 
路 径 的 方法 极 大 地 增强 了 DirectedDiffusion 的 健壮 性 ,但 是 由 于 缺乏 必要 的 安全 防护 ， 
DirectedDiffusion 仍然 是 比较 脆弱 的 。 针 对 DirectedDiffusion ,攻击 者 可 以 发 动 多 种 攻击 ， 

(1) 攻击 者 可 以 将 自己 伪装 成 一 个 基站 ,发 出 兴趣 消息 ,对 目标 数据 进行 偷 听 ; 

(2) 攻击 者 可 以 通过 谎 称 加 强 的 或 减弱 的 路 径 以 及 虚假 的 匹配 数据 来 影响 数据 流 的 
传输 ; 

(3) 通过 向 上 游 节点 发 送 欺 骗 性 的 低 延 迟 .高 速率 的 数据 发 动 Sinkhole 或 Wormhole 
攻击 ; 

(4) 通过 对 Sink 节点 发 动 Sybil 攻击 ,可 以 阻止 Sink 节点 获取 任何 有 效 信息 。 

2) Rumor 协议 

Rumor 算法 适合 应 用 在 数据 传输 量 较 少 的 传感器 网 络 中 ,该 协议 借鉴 了 欧 氏 平面 图 上 
任意 两 条 曲线 交叉 几率 很 大 的 思想 。Rumor 算法 的 基本 思想 是 : 事件 发 生 区 域 的 节点 创建 
称 为 Agent 的 数据 包 ,数据 包 内 包含 事件 和 源 节点 信息 ,然后 将 其 按 一 条 路 径 或 多 条 路 径 
随机 在 网 络 中 转发 , 收 到 Agent 的 节点 根据 事件 和 源 节点 信息 建立 反 向 路 径 ,并 将 Agent 
再 次 发 向 相 邻 节点 。BS 的 查询 请 求 也 沿 着 一 条 随机 路 径 转 发 , 当 两 条 路 径 相 交 时 就 会 形成 
一 条 从 事件 区 域 到 BS 的 完整 路 径 。Rumor 协议 很 容易 受到 选择 性 转发 攻击 ,恶意 节点 在 
收 到 Agent 或 BS 的 查询 请 求 时 不 再 转发 ,使 得 路 由 不 可 能 建立 起 来 。 恶 意 节 点 也 可 以 发 
动 虚假 路 由 攻击 ,冒充 BS 发 出 查询 消息 ,从 而 将 流量 吸引 到 恶意 节点 上 ,然后 再 发 动 选择 
性 转发 攻击 。 

3) LEACH 协议 

LEACH 是 一 种 自 适 应 分 化 的 层次 型 、 低 功 耗 路 由 算法 ,该 协议 的 主要 特征 是 按 周 期 随 
机 选举 秘 头 \ 动 态 的 形成 秘 .与 数据 融合 技术 相 结合 。 每 一 个 周期 (或 每 一 轮 ) 分 为 复 头 选举 
阶段 和 稳定 阶段 。LEACH 算法 选举 簇 头 的 过 程 如 下 : 节点 产生 一 个 0 一 1 之 间 的 随机 数 ， 
如 果 这 个 数 小 于 阅 值 T(n), 则 发 布 自己 是 簇 头 的 公告 消息 。 在 每 轮 循环 中 ,如 果 节 点 已 经 
当选 过 簇 头 , 则 把 阔 值 设 为 0, 这样 该 节点 就 不 会 再 次 当选 为 篮 头 。 随 着 当选 过 簇 头 的 节点 
数目 的 增加 ,剩余 节点 当选 答 头 的 阔 值 随 之 增 大 。T(z) 的 计算 公式 为 : 


p ~ 
ay Ni od ‘0 


0 (其 他 ) 
其 中 ,p 是 簇 头 在 所 有 节点 中 所 占 的 百分比 ,r 为 当前 的 轮 数 ,G 为 当前 轮 中 没有 当选 过 
簇 头 的 节点 的 集合 。 在 随机 选举 出 簇 头 后 ,成 为 徐 头 的 节点 向 网 络 发 出 广播 ,告知 其 他 节点 
产生 了 一 个 新 的 簇 头 ,其 他 节点 在 收 到 该 消息 后 ,根据 信号 强度 来 决定 加 入 哪个 簇 , 并 告知 
相应 的 簇 头 。 
在 稳定 阶段 ,节点 将 监测 到 的 数据 发 送 给 簇 头 节点 , 簇 头 节点 将 接收 到 的 数据 进行 数据 
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融合 后 发 送 到 Sink 节点 。LEACH 协议 通过 随机 选择 簇 头 平均 分 担 了 中 继 通 信 的 业务 量 ， 
通过 数据 融合 技术 减少 了 通信 次 数 ,延长 了 传感器 网 络 的 生命 周期 。 但 是 LEACH 要 求 节 
点 有 较 大 功率 的 通信 能 力 ,不 适合 较 大 规模 的 网 络 。 

LEACH 协议 很 容易 受到 恶意 节点 的 攻击 。 由 于 节点 是 根据 信号 的 强 弱 来 选取 簇 头 
的 ,恶意 节点 可 以 以 较 大 的 功率 声称 自己 是 簇 头 节 点 ,吸引 其 他 节点 选择 自己 为 簇 头 ,从 而 
发 动 选择 性 转发 或 Sinkhole 攻击 。LEACH 假定 所 有 节点 都 可 以 和 BS 通信 ,所 以 对 虚假 
路 由 、Sybil 攻击 等 有 一 定 的 防御 能 力 。 

4) TEEN 协议 

TEEN 也 是 一 个 层次 型 的 路 由 协议 ,利用 门限 过 滤 的 方式 来 减少 数据 传输 量 , 该 协议 
采用 和 LEACH 相同 的 形成 簇 的 方式 ,但 是 TEEN 不 要 求 节点 具有 较 大 的 通信 能力 , 簇 尖 
根据 与 BS 距离 的 不 同形 成 层次 结构 。TEEN 协议 将 传感器 网 络 分 为 主动 和 响应 两 种 类 
型 ,主动 型 网 络 的 主要 任务 是 不 断 采集 监测 目标 的 相关 信息 ,并 按照 一 定 的 频率 发 送 给 BS; 
响应 型 网 络 是 只 有 在 节点 监测 到 某 个 事件 发 生 时 才 会 向 BS 发 送 数据 。TEEN 主要 面向 响 
应 型 的 无 线 传感器 网 络 。 

当 久 构造 好 后 ,BS 通过 簇 头 节点 向 全 网 通告 两 个 门限 值 (分 别称 为 硬 门限 和 软 门 限 ) 来 
过 滤 数 据 发 送 。 硬 门限 是 节点 进行 数据 传输 的 最 低 限 度 , 只 有 采集 到 的 数据 超过 该 值 并 且 
数据 变化 幅度 超过 软 门 限时 ,传感器 节点 才 会 向 其 所 在 簇 的 簇 头 发 送 采集 到 的 数据 。 

5) GPSR 协议 

GPSR 是 一 个 典型 的 基于 位 置 的 路 由 协议 ,在 该 协议 中 ,每 个 节点 只 需 知道 邻居 节点 和 
自身 的 位 置 即 可 利用 贪心 算法 转发 数据 。 在 贪心 算法 中 , 接 到 数据 的 节点 搜索 它 的 邻居 节 
点 表 , 如 果 邻 居 节 点 到 BS 的 距离 小 于 本 节点 到 BS 的 距离 , 则 转发 数据 到 邻居 节点 。 然 而 
这 样 的 贪 焚 转 发 策略 是 有 缺陷 的 ,在 路 由 转发 过 程 中 会 出 现 路 由 “空洞 ”, 如 图 8-5 所 示 。 在 
这 样 的 拓扑 条 件 下 ,容易 看 出 X 到 BS 的 距离 比 w 和 YY 都 近 , 尽 管 存在 两 条 路 由 ,但 是 依据 
贪 禁 转 发 策略 ,节点 XX 不 会 选择 W 和 YY 为 下 一 跳 转 发 节点 。 因 此 , 当 节 点 发 现 空洞 问题 
时 , 则 利用 右手 法 则 转发 数据 。 接 收 到 利用 右手 法 则 转发 数据 的 节点 ,如 果 其 邻居 节点 ( 非 
发 送 数据 的 源 节点 ) 到 BS 的 距离 小 于 其 到 BS 的 距离 , 则 重新 利用 贪心 算法 转发 数据 。 

GPSR 很 容易 受到 位 置 攻击 ,如 图 8-6 所 示 , 恶 意 节点 通知 节点 C 节点 B 的 位 置 在 (2， 
DD 点 ,实际 上 节点 B 在 (0,1) ,于 是 节点 C 将 数据 发 送 给 B,B 根据 贪心 算法 又 会 将 数据 发 
送 给 C, 这 样 就 进入 了 路 由 死 循环 状态 。 


图 8-5 GPSR 中 的 空洞 问题 图 8-6 ”利用 位 置信 息 的 攻击 
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6) GEAR 协议 

和 GPSR 相似 ,GEAR 也 是 一 个 基于 地 理 位 置信 息 的 路 由 协议 。 所 不 同 的 是 ,GEAR 
在 选择 路 由 节点 时 还 考虑 了 节点 的 能 量 。GEAR 路 由 中 ,汇聚 节点 发 出 查询 命令 ,并 根据 
事件 区 域 的 地 理 位 置 将 查询 命令 传送 到 事件 区 域内 距离 汇聚 节点 最 近 的 节点 ,然后 从 该 节 
点 将 查询 命令 传播 到 事件 区 域内 的 其 他 节点 。 监 测 数 据 沿 查 询 消息 的 反 向 路 径 向 汇聚 节点 
传送 。 

节点 根据 能 量 和 距离 信息 估计 到 目的 地 的 路 径 代价 : 

cCN,R) = ad(N,R)+ (1—a)e(N) 

这 里 cCN,R) 为 节点 N 到 事件 区 域 的 估计 代价 ,&CN,R) 为 节点 N 到 事件 区 域 的 距离 ， 
e(NN) 为 节点 N 的 剩余 能 量 ,a 为 比例 参数 。d(N,R) 和 e(N) 都 是 归 一 化 后 的 参数 值 。 
GEAR 容易 受到 虚假 路 由 攻击 和 类 似 于 针对 GPSR 的 攻击 ,形成 循环 路 由 。 

7) 多 路 径路 由 

多 路 径路 由 研究 的 首要 问题 是 如 何 建立 数据 源 节点 到 目的 节点 的 多 条 路 径 。 
GanesanD 等 提出 了 一 种 多 路 径路 由 机 制 , 其 基本 思想 是 : 首先 建立 从 数据 源 节点 到 目的 节 
点 的 主 路 径 ,然后 再 建立 多 条 备用 路 径 ; 数据 通过 主 路 径 进行 传输 ,同时 利用 备用 路 径 低速 
传送 数据 来 维护 数据 的 有 效 性 ; 当主 路 径 失败 时 ,从 备用 路 径 中 选择 次 优 路 径 作 为 新 的 主 
路 径 。 对 于 多 路 径 建立 方法 ,GanesanD 提出 了 不 相交 多 路 径 和 缠绕 多 路 径 两 种 方法 。 不 
相交 多 路 径 是 指 从 源 节点 到 目的 节点 之 间 任 意 两 条 路 径 都 没有 相交 的 节点 。 在 不 相交 路 径 
中 ,备用 路 径 可 能 比 主 路 径 长 得 多 ,为 此 引入 缠绕 路 径 ,同时 解决 主 路 径 上 单个 节点 失败 问 
题 。 理 想 的 缠绕 路 径 是 由 一 组 缠绕 路 径 形 成 的 。 主 路 径 上 的 每 个 节点 都 对 应 一 条 缠绕 路 
径 , 这 些 缠绕 路 径 构成 从 源 节 点 到 目的 节点 的 缠绕 多 路 径 。 

DebB 等 提议 ReInForM 路 由 协议 ,其 基本 过 程 是 : 首先 数据 源 节 点 根据 传输 的 可 靠 性 
要 求 计算 需要 的 传输 路 径 数目 ; 然后 邻居 节点 选择 若干 个 节点 作为 下 一 跳 转发 节点 ,并 给 
每 个 节点 按照 一 定 的 比例 分 配 路 径 数目 ; 最 后 数据 源 节点 将 分 配 的 路 径 数 作为 数据 报头 中 
的 一 个 字段 发 给 邻居 节点 。 

传感器 网 络 安全 路 由 协议 的 进一步 研究 方向 为 : 根据 传感器 网 络 的 自身 特点 ,在 分 析 
路 由 安全 威胁 的 基础 上 ,从 密码 技术 、 定 位 技术 和 路 由 协议 安全 性 等 方面 探讨 了 安全 路 由 
技术 。 


5. 入 侵 检 测 技术 


人 侵 检 测 是 发 现 、 分 析 和 汇报 未 授权 或 者 毁坏 网 络 活动 的 过 程 。 入 侵 检测 技术 作为 一 
种 主动 的 入侵 防御 技术 ,已 经 发 展 成 网 络 安全 体系 中 的 一 个 关键 性 组 件 。 传 感 器 网 络 人 侵 
检测 的 主要 假设 是 用 户 和 程序 的 活动 是 可 观察 的 ,如 通过 系统 的 统计 机 制 ,正常 活动 和 异常 
活动 有 显著 的 不 同 的 行为 。 和 人 侵 检测 技术 可 分 为 两 类 : 一 类 是 滥用 检测 ,是 使 用 众所周知 
的 攻击 模式 来 匹配 和 识别 已 知 的 入 侵 。 如 系统 所 设置 的 口令 次 数 的 尝试 。 滥 用 检测 的 主要 
优点 是 检测 已 知 入 侵 类 型 准确 、 有 效 ; 缺点 是 缺乏 检测 新 的 攻击 方式 的 能 力 。 男 一 类 是 异 
常 检测 ,异常 检测 将 偏离 已 建立 的 正常 特征 数据 的 活动 标记 为 异常 活动 。 其 优点 是 不 需要 
有 关 入 侵 的 先 验 知识 ,具有 检测 新 入 侵 方 式 的 能 力 ; 缺点 是 不 能 确切 描述 攻击 的 特征 , 误 警 
率 高 。 无 线 传感器 网 络 人 侵 检 测 系统 与 传统 网 络 的 人 侵 检测 系统 区 别 较 大 ,主要 表现 在 : 


(1) 无 固定 网 络 基 础 。 固 定 有 线 网 络 的 入 侵 检测 系统 依赖 中 心 节点 (路 由 器 、 交 换 
机 等 ) 对 实时 业务 流 的 分 析 ,无 线 传 感 器 网 络 没有 这 样 的 业务 集中 点 ,入侵 检测 系统 不 
能 很 好 地 统计 数据 ,这 要 求 无 线 传感器 网 络 的 入 侵 检测 系统 能 基于 部 分 的 、 本 地 的 信 
息 进 行 。 

(2) 通信 类 型 。 无 线 传感器 网 络 的 通信 和 链 路 具有 低速 率 、 有 限 带 宽 、 高 误 码 等 特征 , 断 
链 在 无 线 传感器 网 络 数据 传输 中 是 非常 常见 的 ,常常 会 导致 检测 系统 误 报警 。 

(3) 可 用 资源 (如 能 量 .CPU 和 内 存 等 )。 传 统 的 人 侵 检测 系统 需要 的 计算 量 大 ,无 线 
传感器 网 络 由 于 可 用 资源 极端 受 限 ,入 侵 检 测 机 制 的 引入 所 面临 的 最 大 问题 就 是 解决 其 能 
耗 问题 , 必 须 设计 出 一 种 轻 量 级 的 较 少 计算 和 通信 开销 的 人 侵 检 测 系统 。 

传感器 网 络 通常 被 部 署 在 恶劣 的 环境 下 ,甚至 是 敌人 区 域 , 因 此 容易 受到 敌人 捕获 和 侵 
害 。 传 感 器 网 络 入 侵 检 测 技术 主要 集中 在 监测 节点 的 异常 以 及 辨别 恶意 节点 上 。 由 于 资源 
受 限 以 及 传感器 网 络 容易 受到 更 多 的 侵害 ,传统 的 入侵 检测 技术 不 能 够 应 用 于 传感器 网 络 。 
传感器 网 络 人 侵 检 测 由 三 个 部 分 组 成 : 入 侵 检测 、 入 侵 跟踪 和 入 侵 响 应 。 这 三 个 部 分 顺序 
执行 。 首先 人 侵 检测 将 被 执行 ,要 是 入 侵 存 在 ,入 侵 跟 踪 将 被 执行 来 定位 入 侵 , 然 后 人 侵 响 
应 被 执行 来 防御 反对 攻击 者 。 此 入 侵 检 测 框架 如 图 8-7 所 示 。 


入 侵 检测 入 侵 跟踪 入 侵 响应 
异常 监测 路 由 跟踪 节点 孤立 
上 | 拓扑 检查 | 甩 习 
模式 识别 攻击 分 析 证 书 撤销 

人 
数据 收集 
定位 “| [数据 融合 | | 路 由 
节点 监测 历史 记录 
审计 数据 
感知 结 路 由 信息 
节点 行为 网 络 拓扑 


8-7 和 人 侵 检测 框架 


在 无 线 传感器 网 络 人 侵 检 测 的 研究 中 ,已 有 的 理论 成 果 相 对 还 比较 少 。w. Ribeiro 等 
提议 通过 监测 恶意 信息 传输 来 标识 传感器 网 络 的 恶意 节点 。 要 是 信息 传输 的 信号 强度 和 其 
所 在 的 地 理 位 置 相 矛 盾 ,那么 此 信息 被 认为 是 可 疑 的 。 当 节点 接收 到 信息 的 时 候 , 它 比较 接 
收 信息 的 信号 强度 和 期 望 的 信号 强度 (根据 能 量 损耗 模型 计算 ), 如 果 相 匹配 , 则 将 此 节点 的 
不 可 疑 投票 加 1 ,否则 将 可 疑 投票 加 1。 然 后 通过 信息 分 发 协议 来 标识 恶意 节点 。A. Agah 
等 通过 博弈 论 的 方法 衡量 传感器 网 络 的 安全 。 协 作 、 信 誉 和 安全 质量 是 衡量 节点 的 基本 要 
素 。 另 外 ,在 攻击 者 和 传感器 网 络 之 间 规 定 非 协 作 博 弈 ,最 终 得 到 抵制 人 侵 的 最 佳 防御 策 
略 。Krishnamachari 等 人 针对 区 域 容错 行为 提出 了 一 种 分 布 式 贝 叶 斯 算法 。 
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6. 安全 数据 融合 技术 


无 线 传感器 网 络 存 在 能 量 约束 ,减少 传输 的 数据 量 能 够 有 效 地 节省 能 量 ,因此 在 从 各 个 
传感器 节点 收集 数据 的 过 程 中 ,节点 可 以 将 收集 到 的 信息 进行 融合 ,去 除 元 余 信息 ,从 而 达 
到 节省 能 量 的 目的 。 安 全 数据 融合 技术 是 保护 传感器 网 络 节点 在 一 个 开放 的 环境 中 安全 地 
进行 数据 融合 ,以 保证 被 融合 信息 的 完整 性 .认证 性 和 机 密 性 。 

有 众多 节点 的 WSN 会 产生 大 量 原始 元 余 信息 ,数据 融合 是 节省 网 络 通信 资源 减轻 网 
络 负荷 的 有 效 方法 。 一 旦 融合 节点 受到 攻击 ,其 最 终 得 出 的 数据 将 是 无 效 的 ,甚至 是 有 害 
的 ,安全 的 数据 融合 十 分 必要 。 有 学 者 提出 了 一 个 称 为 融合 一 承诺 一 证 实 的 安全 数据 融合 
方案 , 它 由 三 个 阶段 组 成 : 第 一 阶段 ,融合 节点 从 传感器 节点 收集 原始 数据 并 用 特定 的 融合 
函数 在 本 地 生成 融合 结果 ,每 一 个 传感器 节点 都 和 融合 节点 共享 一 个 密 钥 ,以 便 融 合 节点 证 
实 收 到 的 数据 是 真实 的 。 第 二 阶段 ,融合 节点 对 融合 数据 做 出 承诺 ,生成 承诺 标识 (如 基于 
Merkle HASH 树 结构 来 生成 承诺 标识 ) ,确保 融合 器 提交 数据 后 就 不 能 再 改变 它 ,否则 将 
被 发 现 。 融合 节点 向 主 服务 器 提交 融合 结果 和 和 承诺 标识 。 第 三 阶段 , 主 服务 器 与 融合 节点 
基于 交互 式 证 明 协议 来 证 实 结果 的 正确 性 。 目 前 ,安全 数据 融合 方面 的 研究 还 不 多 , 尚 有 大 
量 的 工作 需要 完成 。 

本 节 从 攻击 与 防御 .加 密 算法 、 密 钥 分 配 .安全 架构 4 个 方面 介绍 了 传感器 网 络 安全 的 
研究 进展 。 指 出 了 它们 的 主要 贡献 和 不 足 之 处 ,并 提出 了 改进 建议 。 无 线 传感器 网 络 安全 
是 一 个 年 轻 而 又 迅速 发 展 的 领域 。 上 述 各 方面 都 还 需要 进一步 的 研究 ,以 期 这 些 安全 机 制 
能 真正 进行 实际 应 用 。 

总 之 , 物 联 网 感知 层 是 物 联 网 的 基础 , 物 联 网 感知 层 将 在 物 联网 中 发 挥 关键 性 的 作用 。 
感知 层 存在 许多 与 技术 相关 的 安全 问题 ,在 实施 和 部 署 物 联 网 感知 层 之 前 ,应 该 根据 实际 情 
况 进 行 安全 评估 和 风险 分 析 , 根 据 实际 需求 确定 安全 等 级 来 实施 解决 方案 ,使 物 联网 在 发 展 
和 应 用 过 程 中 ,其 安全 防护 措施 能 够 不 断 完善 。 


9 题 8 


1. 填空 题 
(1) 针对 RFID 主要 的 安全 攻击 可 以 简单 地 分 为 和 两 种 类 型 。 
(2) 使 用 物理 方法 来 保护 RFID 系统 安全 性 的 方法 主要 有 如 下 5 类 : 
\ 主 动 干扰 法 和 阻塞 标签 法 。 
(3) 传感器 节点 由 和 能 量 供应 模块 4 部 分 组 成 。 
2. 选择 题 
(1) 针对 链 路 层 碰 撞 攻 击 , 可 以 采用 以 下 ( ) 处 理 方法 。 
A. 模式 识别 B. 加 固 系 统 安全 
C. 纠 错 编码 D. 信道 监听 和 重 传 机 制 
(2) 传感器 网 络 密 钥 管理 研究 主要 考虑 的 因素 包括 ( Ws 
A. 机 制 能 安全 地 分 发 密 钥 给 传感器 节点 
B. 共享 密 钥 发 现 过 程 是 安全 的 ,能 防止 窃听 ,仿冒 等 攻击 


C. 部 分 密 钥 泄露 后 对 网 络 中 其 他 正常 节点 的 密 钥 安 全 威胁 不 大 
D. 能 安全 和 方便 地 进行 密 钥 更 新 和 撤销 
(3) 目前 针对 无 线 传感器 网 络 提出 的 密 钥 管 理 机 制 主要 有 ( 
A. 基于 公开 密 钥 的 密 钥 管理 B. 基于 随机 密 钥 预 分 配 的 密 钥 管理 
C. 基于 密 钥 分 类 的 密 钥 管理 D. 基于 安全 系数 的 密 钥 管理 
(4) 入 侵 检测 技术 包括 ( Vs 
A. 滥用 检测 B. 通用 检测 C. 异常 检测 D. 安全 检测 
3. 简 答 题 
(1) 基于 物 联 网 本 身 的 特点 和 上 述 列举 的 物 联 网 感知 层 在 安全 方面 存在 的 问题 ,需要 
采取 哪些 有 效 的 防护 对 策 ? 
(2) 传感器 网 络 加 密 技 术 有 哪些 算法 ? 
4. 论述 题 
无 线 传感器 网 络 可 能 遭遇 的 攻击 类 型 多 种 多 样 ,按照 网 络 模型 划分 ,主要 面临 的 威胁 有 
哪些 ? 


本 章 将 介绍 网 络 层 安全 需求 , 物 联网 核心 网 安全 ,下 一 代 网 络 安全 ,网 络 虚拟 化 的 安全 ， 
移动 通信 接 人 安全 和 无 线 接 人 安全 技术 。 要 求学 生 掌 握 物 联 网 网 络 层 的 安全 技术 。 


@.1 网 络 层 安全 需求 
= 


网 络 层 使 用 较 高 的 服务 来 传送 数据 报 文 ,所 有 上 层 通信 ,如 TCP.UDP ICMP IGMP 
都 被 封装 到 一 个 IP 数据 报 中 。ICMP 和 IGMP 仅 存 于 网 络 层 , 因 此 被 当 作 一 个 单独 的 网 络 
层 协议 来 对 待 。 网 络 层 应 用 的 协议 在 主机 到 主机 的 通信 中 起 到 了 帮助 作用 , 绝 大 多 数 的 安 
全 威胁 并 不 来 自 TCP/IP 堆栈 的 这 一 层 。 每 一 个 IP 数据 报 文 都 是 单独 的 信息 ,从 一 台 主 机 
传递 到 另 一 台 主 机 ,主机 把 收 到 的 IP 数据 包 作为 一 个 可 使 用 的 形式 。 这 种 开放 式 的 构造 使 
得 IP 层 很 容易 成 为 黑客 的 目标 。 本 节 将 介绍 网 络 层 安全 威胁 和 网 络 层 安全 策略 。 


9.1.1 网 络 层 安全 威胁 
1. 网 络 层 的 安全 性 特征 


网 络 层 安全 性 的 主要 优点 是 它 的 透明 性 。 也 就 是 说 ,安全 服务 的 提供 不 需要 应 用 程序 、 
其 他 通信 层次 和 网 络 部 件 做 任何 改动 。 

它 的 主要 缺点 是 网 络 层 一 般 对 属于 不 同 进程 和 相应 条 例 的 包 不 做 区 别 。 对 所 有 去 往 同 
一 地 址 的 包 , 它 将 按照 相同 的 加 密 密 钥 和 访问 控制 策略 来 处 理 。 这 可 能 导致 提供 不 了 所 需 
的 功能 ,也 可 能 导致 性 能 下 降 。 


2. 网 络 层 的 安全 威胁 


(1) IP 欺骗 。 黑 客 经 常 利用 一 种 叫做 IP 欺骗 的 技术 把 源 IP 地 址 替换 成 一 个 错误 的 IP 
地 址 。 接 收 主机 不 能 判断 源 IP 地 址 是 不 正确 的 ,并 且 上 层 协 议 必须 执行 一 些 检查 来 防止 这 
种 欺骗 。 在 这 一 层 中 经 常 发 现 的 一 种 策略 是 利用 源 路 由 IP 数据 包 , 仅 仅 被 用 于 一 个 特殊 的 
路 径 中 传输 ,这 种 利用 被 称 为 源 路 由 ,这 种 数据 包 被 用 于 击破 安全 措施 ,例如 防火 墙 。 使 用 
IP 欺骗 的 攻击 很 有 名 的 是 一 种 Smurf 攻击 。Smurf 攻击 向 大 量 的 远程 主机 发 送 一 系列 的 
ping 请 求 ,然后 对 目标 地 址 进行 回复 。 

(2) ICMP 攻击 。Internet 控制 信息 协议 (ICMP) 在 IP 中 检查 错误 和 其 他 条 件 。Tribal 
Flood Network 是 一 种 利用 ICMP 的 攻击 .利用 ICMP 消耗 带宽 来 有 效 地 摧毁 站 点 。 另 外 ， 
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微软 早期 版 本 的 TCP/IP 堆栈 有 缺陷 ,黑客 发 送 一 个 特殊 的 ICMP 包 就 可 以 使 之 崩溃 。 
3. 物 联网 网 络 层 的 安全 威胁 


物 联网 网 络 层 可 划分 为 接 人 /核心 网 和 业务 网 两 部 分 .它们 面临 的 安全 威胁 主要 如 下 : 

(1) 拒绝 服务 攻击 。 物 联网 终端 数量 巨大 且 防 御 能 力 薄 弱 , 攻 击 者 可 将 物 联 网 终端 变 
为 俐 儒 , 向 网 络 发 起 拒绝 服务 攻击 。 

(2) 假冒 基站 攻击 。2G GSM 网 络 中 终端 接 人 网 络 时 的 认证 过 程 是 单 向 的 ,攻击 者 通 
过 假冒 基站 骗取 终端 驻 留 其 上 并 通过 后 续 信 息 交 互 穷 取 用 户 信息 。 

(3) 基础 密 钥 泄露 威胁 。 物 联网 业务 平台 WMMP 协议 以 短信 明文 方式 向 终端 下 发 所 
生成 的 基础 密 钥 。 攻 击 者 通过 窃听 可 获取 基础 密 钥 ,任何 会 话 无 安全 性 可 言 。 

(4) 隐私 泄露 威胁 。 攻 击 者 攻破 物 联 网 业务 平台 之 后 ,窃取 其 中 维护 的 用 户 隐私 及 敏 
感 信 息 。 

(5) IMSI 暴露 威胁 。 物 联网 业务 平台 基于 IMSI 验证 终端 设备 .CU)SIM 卡 及 业务 的 
绑 定 关 系 。 这 就 使 网 络 层 敏感 信息 IMSI 暴露 在 业务 层面 ,攻击 者 据 此 获取 用 户 隐 私 。 


9.1.2 网 络 层 安全 技术 和 方法 
1. 网 络 安全 保护 技术 


网 络 层 安全 是 物 联网 安全 的 重要 层面 。 学 者 张 存 博 就 网 络 层 安 全 策略 在 (大 众 商务 》 
(2009) 提 出 了 三 点 建议 ,包括 从 被 动 安全 保护 .主动 安全 保护 ,整体 安全 保护 的 角度 进行 了 
探讨 。 

(1) 被 动 的 安全 保护 技术 。 在 网 络 安全 中 ,被 动 的 安全 保护 技术 主要 有 物理 保护 和 安 
全 管理 ,入 侵 检测 防火墙 等 。 

(2) 主动 的 安全 保护 技术 。 主 动 的 安全 保护 技术 一 般 有 存 取 控制 ,权限 设置 .数据 加 密 
和 身份 识别 等 。 

(3) 整体 的 安全 保护 技术 。 被 动 和 主动 安全 保护 技术 都 是 目前 提高 网 络 系统 安全 性 的 
有 效 手段 。 其 中 的 脆弱 性 扫描 技术 是 检查 自身 网 络 系统 安全 ,及 时 发 现 问题 和 修补 脆弱 性 ， 
降低 系统 的 安全 风险 。 现 在 多 数 的 网 络 安 全 保护 模型 采用 防火 墙 \ 入 侵 检 测 系 统 ,扫描 器 的 
安全 保护 体系 ,在 最 外 层 通过 防火 墙 来 对 内 部 网 和 外 部 网 之 间 的 信息 进行 过 滤 。 第 二 层 通 
过 入侵 检测 系统 对 网 络 系统 进行 实时 监测 和 分 析 , 并 且 作出 相应 的 报警 。 内 层 则 通过 安全 
扫描 器 对 网 络 系统 进行 安全 评估 和 查找 脆弱 性 。 


2. 网 络 层 安全 防护 方法 


在 计算 机 网 络 层 安全 方案 设计 中 ,重点 要 解决 利用 IP 地 址 欺骗 手段 侵入 计算 机 网 络 ， 
非法 访问 未 授权 信息 的 问题 。 网 络 层 的 安全 手段 一 般 包 括 利 用 路 由 器 进行 数据 包 过 滤 、 
VLAN 划分 和 采用 防火 墙 等 。 

(1) VLAN 划分 。 基 于 MAC 的 VLAN 不 能 防止 MAC 欺骗 攻击 。 因 此 ,VLAN 划分 
最 好 基于 交换 机 端口 。VLAN 的 划分 方式 的 目的 是 为 了 保证 系统 的 安全 性 。 因 此 ,可 以 按 
照 系统 的 安全 性 来 划分 VLAN。 
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(2) 防火 墙 。 防 火 墙 是 网 络 互联 中 的 第 一 道 屏障 ,主要 作用 是 在 网 络 人 口 点 检查 网 络 
通信 。 通 过 防火 墙 能 解决 如 下 问题 : 保护 脆弱 服务 ; 控制 对 系统 的 访问 ; 集中 的 安全 管理 。 
防火 墙 定义 的 规则 可 以 运用 于 整个 网 络 ,不 许 在 内 部 网 每 台 计 算 机 上 分 别 定 义 安全 策略 ; 
增强 的 保密 性 。 使 用 防火 墙 可 以 组 织 攻击 者 攻击 网 络 系统 的 有 用 信息 ,如 Finger、DNS 等 ; 
记录 和 统计 网 络 利 用 数据 以 及 非法 使 用 数据 ; 策略 执行 ; 流量 控制 、 防 攻击 检测 等 。 

(3) 加 密 技 术 。 加 密 型 网 络 安全 技术 的 基本 思想 是 不 依赖 于 网 络 中 数据 路 径 的 安全 性 
来 实现 网 络 系统 的 安全 ,而 是 通过 对 网 络 数据 的 加 密 来 保障 网 络 的 安全 可 靠 性 。 加 密 技术 
用 于 网 络 安全 通常 有 两 种 形式 , 即 面向 网 络 或 面向 应 用 服务 。 前 者 通常 工作 在 网 络 层 或 传 
输 层 , 使 用 经 过 加 密 的 数据 包 传 送 、 认 证 网 络 路 由 及 其 他 网 络 协议 所 需 的 信息 ,从 而 保证 网 
络 的 连通 性 不 受 损害 。 

(4) 数字 签名 和 认证 技术 。 认 证 技术 主要 解决 网 络 通信 过 程 中 通信 双方 的 身份 认可 ， 
数字 签名 是 身份 认证 技术 中 的 一 种 具体 技术 ,同时 数字 签名 还 可 用 于 通信 过 程 中 的 不 可 抵 
赖 要 求 的 实现 。 

(5) User Name/Password 认证 。 该 种 认证 方式 是 最 常用 的 一 种 认证 方式 ,用 于 操作 系 
统 登 录 、Telnet 和 Rlogin 等 。 但 此 种 认证 方式 过 程 不 加 密 , 即 Password 容易 被 监听 和 解密。 

(6) 使 用 摘要 算法 的 认证 。Radius、OSPF、SNMP Security Protocol 等 均 使 用 共享 的 
Security Key, 加 上 摘要 算法 (MD5) 进 行 认证 。 由 于 摘要 算法 是 一 个 不 可 逆 的 过 程 ,因此 在 
认证 过 程 中 ,由 摘要 信息 不 能 得 到 共享 的 Security Key, 人 敏感 信息 不 在 网 络 上 传输 。 市 场 上 
主要 采用 的 摘要 算法 有 MD5 和 SHA-1。 

(7) 基于 PKI 的 认证 。 使 用 公开 密 钥 体系 进行 认证 。 该 种 方法 安全 程度 较 高 ,综合 采 
用 了 摘要 算法 ,不 对 称 加 密 、 对 称 加 密 、 数 字 签 名 等 技术 ,结合 了 高 效 性 和 安全 性 。 但 涉及 繁 
重 的 证 书 管理 任务 。 

(8) 数字 签名 。 数 字 签 名 作为 验证 发 送 者 身份 和 消息 完整 性 的 根据 。 并且, 如 果 消 息 
随 数字 签名 一 同 发 出 ,对 消息 的 任何 修改 在 验证 数字 签名 时 都 会 被 发 现 。 

(9) VPN 技术 。 网 络 系统 总 部 和 分 支 机 构 之 间 采 用 公 网 互联 ,其 最 大 弱点 在 于 缺乏 足 
够 的 安全 性 。 完 整 的 VPN 安全 解决 方案 ,提供 在 公 网 上 安全 的 双向 通信 ,以 及 透明 的 加 密 
方案 ,以 保证 数据 的 完整 性 和 保密 性 。 


[9.2 物 联网 核心 网 安全 
这 部 分 将 从 核心 网 的 概念 ,安全 需求 和 安全 措施 三 个 方面 进行 介绍 。 
9.2.1 核心 网 概述 


1. 核心 网 定义 


核心 网 (Core Network) 通 常 指 除 接 人 网 和 用 户 驻 地 网 之 外 的 网 络 部 分 。 将 业务 提供 
者 与 接 入 网 ,或 者 将 接 入 网 与 其 他 接 入 网 连接 在 一 起 的 网 络 , 如 图 9-1 所 示 。 

如 果 把 移动 网 络 划分 为 三 个 部 分 ,基站 子 系统 ,网 络 子 系统 和 系统 支撑 部 分 核心 网 部 分 
就 是 位 于 网 络 子 系统 内 ,核心 网 的 主要 作用 是 把 呼叫 请 求 或 数据 请 求 接续 到 不 同 的 网 络 上 。 
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图 9-1 核心 网 结构 


主要 是 涉及 呼叫 的 接续 、. 计 费 , 移 动 性 管理 ,补充 业务 实现 ,智能 触发 等 方面 主体 支撑 。 至 于 
软 交 换 则 有 两 个 很 明显 的 概念 : 控制 与 承载 的 分 离 ,控制 信道 与 数据 信道 的 分 离 。 


2. 核心 网 的 功能 


核心 网 的 功能 主要 是 提供 用 户 连 接 、 对 用 户 的 管理 以 及 对 业务 完成 承载 ,作为 承载 网 络 
提供 到 外 部 网 络 的 接口 。 用 户 连接 的 建立 包括 移动 性 管理 (MM) 、 呼 叫 管理 (CM) ,交换 /路 
由 、 录 音 通 知 (结合 智能 网 业务 完成 到 智能 网 外 围 设备 的 连接 关系 ) 等 功能 。 用 户 管理 包括 
用 户 的 描述 .Qos( 加 入 了 对 用 户 业 务 Qos 的 描述 ) 用户 通信 记录 (Accounting)\VHE( 与 智 
能 网 平台 的 对 话 提供 虚拟 居家 环境 ) ,安全 性 (由 鉴 权 中 心 提 供 相应 的 安全 性 措施 ,包含 了 对 
移动 业务 的 安全 性 管理 和 对 外 部 网 络 访问 的 安全 性 处 理 ) 。 承 载 连接 (Access to) 包 括 到 外 
部 的 PSTN 、 外 部 电路 数据 网 和 分 组 数据 网 Internet 和 Intranets, 以 及 移动 自己 的 SMS 服 
务 器 等 。 核 心 网 可 以 提供 的 基本 业务 包括 移动 办 公 、 电 子 商务 、 通 信 、 娱 乐 性 业务 .旅行 和 基 
于 位 置 的 服务 ,遥感 业务 (Telemetry) 、 简 单 消息 传递 业务 (监视 控制 ) 等 。 


3. 核心 网 的 发 展 方向 


核心 网 的 发 展 方向 是 核心 网 全 面 进入 IP 时 代 ,IP、 融 合 、 宽 带 、 智 能 、 容 灾 和 绿色 环保 是 
其 主要 特征 。 从 电路 域 看 ,移动 软 交 换 已 经 全 面 从 TDM 的 传输 电路 转向 IP; 从 分 组 域 看 ， 
宽带 化 ,智能 化 是 其 主要 特征 ; 从 用 户 数 据 看 ,新 的 HLR 被 广泛 接受 ,逐步 向 未 来 的 融合 数 
据 中 心 演进 。 另 外 ,运营 商 纷纷 将 容 灾 和 绿色 环保 提 到 战略 的 高 度 。 移 动 网 络 在 未 来 发 展 
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和 演进 上 殊途同归 ,在 4G 时 代 ,GSM 和 CDMA 两 大 阵营 将 走向 共同 的 IMS 十 SAE 十 LTE 
架构 。 


9.2.2 核心 网 安全 需求 


核心 网 安全 域 包括 所 有 的 软 交 换 机 ,TG、AG、SG 等 接 入 网 关 ,BGW 类 设备 ,关键 业务 
平台 (包括 SHLR 号 码 转换 平台 等 ) , 软 交换 媒体 服务 器 和 应 用 服务 器 ,开发 给 第 三 方 业务 
接口 的 应 用 网 关 。Internet 接 入 网 安全 域 包括 所 有 分 配 公 网 地 址 的 SIP 电话 终端 \IAD 类 
设备 ,各 类 SIP 接 入 的 PC 等 。 支 撑 系 统 安全 域 包括 网 管 . 计 费 和 OSS 等 辅助 运营 系统 。 第 
三 方 应 用 网 络 安全 域 主要 包括 所 有 以 开发 业务 接口 方式 接 入 的 应 用 服务 器 ,实际 应 用 很 少 ， 
这 里 不 讨论 该 区 域 的 安全 需求 。 下 面 是 各 安全 域 的 安全 需求 。 


1. 核心 网 安全 域 


核心 网 安全 域 是 软 交换 网 络 的 安全 核心 。 从 现在 的 情况 来 看 ,核心 网 的 承载 层 一 般 都 
采用 专用 IP 网 和 VPN 方式 组 网 ,安全 域内 设备 (包括 各 种 AG) 本 身 的 管理 和 控制 可 以 认 
为 是 安全 的 。 核 心 网 安全 域 的 安全 需求 有 : 设备 的 可 用 性 , 即 可 以 在 各 种 情况 下 (包括 设备 
故障 、 网 络 风暴 、 话 务 冲 击 等 ) 保 证 设备 和 承载 业务 的 正常 运行 ; 需要 在 核心 网 与 其 他 网 络 
连接 处 部 署 BGW 和 防火 墙 等 设备 进行 内 外 网 隔离 ; 网 络 中 的 SS 等 设备 需 具备 完善 的 设 
备 认 证 和 授信 方式 ,防止 非法 登录 ; 核心 网 节点 间 需 采用 心跳 和 媒体 检测 等 方式 进行 状态 
检查 ,及 时 更 新 节点 状态 ,保证 业务 正常 ; 接 入 节点 需 具备 带宽 和 业务 管理 能 力 , 防 止 用 户 
非法 占用 带宽 和 使 用 业务 ; 核心 网 节点 应 具备 对 异常 信 令 和 消息 的 处 理 能 力 , 防 止 人 为 攻 


2. Internet 接 入 网 安全 域 


Internet 存在 安全 问题 , 当 通 过 Internet 提供 软 交换 业务 时 ,需要 保证 业务 接 人 设备 与 
软 交换 网 络 之 间 的 通信 安全 。Internet 接 人 网 安全 域 的 安全 需求 有 : 在 SIP 电话 、 软 件 电话 
等 终端 设备 与 Internet 和 软 交换 网 络 互联 设备 之 间 需 要 应 用 L2TP IPSec 等 隧道 技术 ; 小 
容量 AGW 、IAD 等 通过 Internet 接 人 时 ,它们 与 Internet 和 软 交 换 网 络 互 联 设备 之 间 需 要 
应 用 GRE、IPinIP 和 IPSec 等 隧道 技术 ; 需要 完善 的 接 入 设备 认证 和 授信 手段 ,防止 冒名 
使 用 。 


3. 支撑 系统 安全 域 


支撑 系统 主要 包括 网 管 . 计 费 和 OSS 等 系统 。 虽 然 支 撑 系 统 不 向 用 户 直 接 提供 业 
务 , 且 都 在 内 网 区 域内 , 受 攻击 的 可 能 性 较 小 ,但 其 功能 的 特殊 性 且 大 多 采用 通用 操作 系 
统 ,因此 必须 保证 其 安全 。 支 撑 系 统 安全 域 的 安全 需求 有 : 高 强度 的 用 户 认 证 机 制 ; 重 
要 系统 需要 进行 物理 隔离 ,并 且 网 间 需 要 部 署 功能 强大 的 防火 墙 设备 ; 需要 优化 系统 安 
全 策略 。 
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9.2.3 软 交换 网 络 安全 措施 
1. 承载 网 层面 


软 交换 网 络 的 承载 层 现在 除了 用 专 网 和 MPLSVPN 等 手段 进行 网 络 隔离 外 ,一 些 厂商 
采用 在 关键 节点 放置 网 络 探头 ,以 ping 段 包 的 形式 进行 侦 听 等 手段 进行 网 络 质量 监控 。 目 
前 这 种 方式 有 以 下 难题 需要 解决 : 一 是 ping 包 和 软 交换 消息 包 的 长 度 差异 较 大 ,在 一 定 丢 
包 率 情况 下 无 法 满足 软 交换 信 令 的 要 求 ; 二 是 ping 包 的 频率 不 能 设置 太 短 ,在 承载 网 完全 
中 断 情况 下 ,可 以 准确 定位 故障 点 ,但 是 在 闪 断 或 者 网 络 质量 不 稳定 情况 下 ,难以 保证 实时 
性 业务 的 质量 和 实现 故障 定位 。 


2. 网 络 层面 


在 软 交换 设计 和 规划 期 间 ,应 该 对 软 交 换 网 络 安全 有 全 面 考虑 : 承载 网 的 安全 ,包括 网 
络 隔离 、 防 攻击 等 ; 关键 业务 节点 的 备份 和 用 户 的 业务 归属 ; 业务 的 合理 配备 和 设置 ,尽量 
在 分 散 和 易 管理 之 间 找 到 平衡 。 对 于 软 交 换 网 络 特有 的 双 归 属 容 灾 应 该 加 以 充分 利用 , 弥 
补 网 络 安全 漏洞 。 但 需 注意 对 双 归 属 机 制 进行 完善 ,包括 网 关 的 切换 策略 、 软 交换 的 控制 策 
略 ,心跳 参数 设置 策略 、 容 灾 数 据 库 管理 等 。 


3. 软 交 换 设备 层面 


软 交换 设备 的 安全 主要 靠 厂 商 的 安全 设计 来 保证 ,但 同时 应 该 重视 以 下 几 个 方面 : 建 
立 关 键 板 件 检 测 制 度 和 定期 切换 检测 制度 ,充分 保证 关键 板 件 倒 换 成 功 ; 为 了 保证 软件 版 
本 和 补丁 的 安全 性 ,厂商 应 建立 软件 版 本 安全 控制 体系 ,运营 商 应 加 强人 网 检验 制度 和 应 用 
流程 管理 ,共同 解决 软件 的 安全 性 和 兼容 性 问题 ; 充分 了 解 和 用 好 设备 的 自 保护 措施 ,如 软 
交换 的 过 负荷 保护 机 制 。 


4. 管理 层面 


网 络 安全 工作 是 一 个 以 管理 为 主 的 系统 工程 , 靠 的 是 “三 分 技术 ,七 分 管理 ,因此 必须 
制定 一 系列 的 安全 管理 制度 ,安全 评估 和 风险 处 置 手段 .应 急 预案 等 ,这 些 措 施 应 覆盖 网 络 
安全 的 各 个 方面 ,达到 能 够 解决 的 安全 问题 及 时 解决 ,可 以 减轻 的 安全 问题 进行 加 固 ,不 能 
解决 的 问题 编制 应 急 预案 减少 安全 威胁 。 与 此 同时 ,需要 强 有 力 的 管理 来 保障 这 些 制 度 和 
手段 落 到 实处 。 


63 下 一 代 网 络 安全 


这 部 分 将 介绍 下 一 代 网 络 的 概念 ,安全 威胁 、 安 全 需求 ,安全 体系 结构 ,安全 机 制 和 安全 
应 对 方法 。 


9.3.1 下 一 代 网 络 概述 


下 一 代 网 络 (Next Generation Network,NGN) 泛 指 一 个 以 IP 技术 为 核心 ,基于 TDM 


物 联 网 安全 教程 


(时 分 复 用 ) 的 PSTN 语音 网 络 和 基于 IP/ATM( 异 步 传输 模式 ) 的 分 组 网 络 融合 的 产物 , 同 
时 可 以 支持 电话 和 Internet 接 人 业务 ,数据 业务 、 视 频 流 媒体 业务 、 数 字 TV 广播 业务 和 移 
动 等 业务 ,NGN 是 全 业务 的 网 络 。NGN 的 重点 在 开发 更 先进 的 增值 业务 上 ,也 可 以 逐步 
实现 固 网 和 移动 网 的 融合 。 随 着 网 络 自身 业务 的 完善 ,包括 承载 网 QoS 的 完善 ,网 络 业务 
逐步 转向 以 提供 多 媒体 业务 为 特征 的 业务 。 

下 一 代 网 络 , 又 称 为 次 世代 网 络 。 主 要 思想 是 在 一 个 统一 的 网 络 平台 上 以 统一 管理 的 
方式 提供 多 媒体 业务 ,在 整合 现 有 的 市 内 固定 电话 移动 电话 的 基础 上 (统称 FMC) 增 加 多 
媒体 数据 服务 及 其 他 增值 型 服务 。 其 中 语音 的 交换 将 采用 软 交 换 技 术 , 而 平台 的 主要 实现 
方式 为 IP 技术 ,逐步 实现 统一 通信 ,其 中 voip 将 是 下 一 代 网 络 中 的 一 个 重点 。 为 了 强调 IP 
技术 的 重要 性 ,思科 公司 (Cisco Systems) 主张 称 为 IP-NGN。 

NGN 是 一 个 分 组 网 络 ,提供 包括 电信 业务 在 内 的 多 种 业务 ,能够 利用 多 种 带宽 和 具有 
QoS 能 力 的 传送 技术 ,实现 业务 功能 与 底层 传送 技术 的 分 离 。 它 允许 用 户 对 不 同业 务 提供 
商 网 络 的 自由 接 人 ,并 支持 通用 移动 性 ,实现 用 户 对 业务 使 用 的 一 致 性 和 统一 性 。 它 是 以 软 
交换 为 核心 的 ,能 够 提供 包括 语音 、 数 据 , 视 频 和 多 媒体 业务 的 基于 分 组 技术 的 综合 开放 的 
网 络 架 构 ,代表 了 通信 网 络 发 展 的 方向 。NGN 具有 分 组 传送 ,控制 功能 从 承载 .呼叫 /会 
话 .应 用 /业务 中 分 离 , 业 务 提 供与 网 络 分 离 ,提供 开放 接口 ,利用 各 基本 的 业务 组 成 模块 , 提 
供 广泛 的 业务 和 应 用 , 端 到 端 QoS 和 透明 的 传输 能 力 通 过 开放 的 接口 规范 与 传统 网 络 实现 
互通 ,通用 移动 性 ,允许 用 户 自由 地 接 人 不 同业 务 提供 商 ,支持 多 样 标志 体系 ,融合 固定 与 移 
动 业 务 等 特征 。 

NGN 包括 9 大 支撑 技术 : IPv6 ,光纤 高 速 传输 , 光 交 换 与 智能 光 网 ,宽带 接 入 , 城 域 网 ， 
软 交 换 ,3G 和 后 3G 移动 通信 系统 ,IP 终端 ,网 络 安全 。 


9.3.2 下 一 代 网 络 安全 问题 


NGN 网 络 的 一 个 特点 是 开放 性 端口 增多 ,导致 其 安全 性 下 降 。NGN 网 络 的 安全 问题 
主要 包括 网 络 安全 和 用 户 数据 安全 两 个 方面 。 网 络 安全 是 指 交换 网 络 本 身 的 安全 , 即 交 换 
网 络 中 的 网 关 、 交 换 机 、 服 务 器 不 会 受到 非法 攻击 。 需 要 在 IP 网 上 采用 合适 的 安全 策略 ,以 
保证 交换 网 的 网 络 安全 。 用 户 数据 安全 是 指 用 户 的 账户 信息 和 通信 信息 的 安全 , 即 不 会 被 
非法 的 第 三 方 窃取 和 监听 。 要 求 有 相应 的 安全 认证 策略 保证 用 户 账 户 信息 的 安全 ,同时 无 
论 是 用 户 的 账户 信息 还 是 用 户 的 通信 信息 的 安全 均 需 要 IP 网 的 安全 策略 作为 保证 。 

学 者 谢 清 辉 在 (内 蒙古 科技 与 经 济 》(2010 年 11 期 ) 上 摆 文 ,就 下 一 代 网 络 安全 问题 进 
行 了 分 析 。 下 面 在 其 基础 上 进行 了 概括 和 补充 。 


1. NGN 的 安全 威胁 


NGN 作为 承载 在 分 组 网 络 上 的 下 一 代 通 信 网 络 ,继承 了 分 组 IP 网 络 的 主要 安全 问 
题 ,包括 黑客 DoS 攻击 .病毒 蠕虫 木马 的 入侵 ,非法 扫描 、 信 息 盗 取 .电话 盗 听 、 地 址 欺骗 、 
信息 骚扰 等 。NGN 核心 系统 位 置 相对 集中 ,业务 覆盖 面 广 , NGN 核心 系统 的 安全 成 为 
NGN 安全 的 重 中 之 重 。NGN 终端 多 为 有 复杂 操作 系统 的 智能 终端 , 接 入 的 形式 多 种 多 
样 , 位 置 分 散 ,与 常规 的 数据 终端 同 处 于 一 个 环境 ,使 得 终端 系统 遭 到 攻击 的 可 能 性 大 大 
增加 。 
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IAD/IPPhone 等 终端 及 用 户 通过 冒 用 截获 的 账号 进行 非法 接 人 .、 电 话 盗 打 . 电 话 骚扰 。 
NGN 系统 采用 媒体 流 与 控制 分 离 的 思路 ,客观 上 增加 了 安全 监控 的 难度 。 

目前 ,大 部 分 NGN 网 络 都 是 基于 IP 进行 通信 的 ,因此 根据 IP 协议 层次 的 不 同 ,NGN 
安全 威胁 可 以 分 为 来 自 底层 协议 的 攻击 和 来 自 高 层 协议 的 攻击 。 底 层 协议 攻击 主要 是 指 第 
一 层 到 第 四 层 的 网 络 攻击 ,如 针对 TCP、UDP 或 SCTP 协议 的 攻击 。 来 自 底层 协议 的 攻击 
是 非常 普遍 的 ,对 于 网 络 中 的 大 量 设备 会 产生 相同 的 影响 ,所 以 对 这 些 攻击 的 防范 是 与 
整个 网 络 密切 相关 的 , 且 与 上 面 运 行 什么 协议 无 关 。 高 层 协议 攻击 主要 是 针对 NGN 协 
议 的 攻击 ,如 SIP、H. 323、MEGACO 和 COPS 等 协议 。 由 于 来 自 高 层 协议 的 攻击 一 般 都 
是 针对 特定 目标 协议 的 ,因此 一 般 的 防护 方法 ,或 针对 特定 的 协议 ,或 使 用 安全 的 隧道 
机 制 。 

NGN 中 还 存在 一 些 其 他 的 常见 攻击 种 类 。 拒 绝 服务 攻击 , 偷 听 , 伪 装 ,修改 信息 。 

作为 通信 网 络 的 一 种 ,NGN 可 能 面临 的 安全 威胁 包括 电磁 安全 ,设备 安全 , 链 路 安全 ， 
通信 基础 设施 过 于 集中 , 信 令 网 安全 ,同步 安全 ,网 络 遭 受 战 争 ,自然 灾害 ,网 络 被 流量 冲击 ， 
终端 安全 ,网 络 业务 安全 ,网 络 资源 安全 ,通信 内 容 安全 ,有 害 信息 扩散 。 


2. NGN 安全 分 层 


在 NGN 网 络 中 ,运营 商 必 须 保 证 提供 的 各 种 业务 的 安全 。 可 以 把 NGN 系统 设备 、 各 
种 业务 服务 器 归属 于 不 同 的 安全 域 , 不 同 的 安全 域 对 应 为 不 同 的 安全 等 级 ,安全 等 级 的 划分 
保证 了 高 级 别 安全 域 的 系统 设备 与 低 等 级 系统 的 安全 隔离 。 等 级 高 的 安全 域 可 以 访问 低 等 
级 的 安全 域 , 低 等 级 的 安全 域 不 能 直接 访问 高 等 级 的 安全 域 。 

网 络 安全 承载 与 业务 网 络 安全 通常 包括 承载 与 业务 网 络 安全 ,网 络 服务 安全 以 及 信息 
传递 安全 。 通 信和 网络 安全 通常 不 保证 意识 形态 安全 ,需要 技术 手段 ,例如 合法 监听 等 来 支持 
意识 形态 安全 。 

(1) 承载 与 业务 网 络 安全 包括 网 络 可 靠 性 与 生存 性 。 网 络 可 靠 性 与 生存 性 依靠 环境 安 
全 ,物理 安全 节点 安全 , 链 路 安全 ,拓扑 安 全 和 系统 安全 等 方面 来 保障 。 这 里 承载 与 业务 网 
是 拥有 自己 节点 、 链 路 .拓扑 和 控制 的 网 络 ,例如 传输 网 .互联 网 .ATM 网 、 帧 中 继 网 .DDN 
网 X. 25 网 、 电 话 网 \ 移 动 通信 网 和 支撑 网 等 电信 和 网络 。 

(2) 网 络 服务 安全 包括 服务 可 用 性 与 服务 可 控 性 。 服 务 可 控 性 依靠 服务 接 入 安全 , 服 
务 防 否 认 、 服 务 防 攻击 等 方面 来 保障 。 服 务 可 用 性 与 承载 与 业务 网 络 可 靠 性 以 及 维护 能 力 
等 相关 。 服 务 可 以 是 网 络 提供 的 DDN 专线 .ATM 专线 .语音 业务 `VPN 业务 和 Internet 
业务 等 。 

(3) 信息 传递 安全 包括 信息 完整 性 机密 性 和 不 可 否认 性 。 信 息 完 整 性 可 以 依靠 报 文 
鉴别 机 制 例如 哈 希 算法 等 来 保障 ; 信息 机 密 性 可 以 依靠 加 密 机 制 以 及 密 钥 分 发 等 来 保障 ; 
信息 不 可 否认 性 可 以 依靠 数字 签名 等 技术 保障 。 

(4) 意识 形态 安全 是 指 传递 的 信息 不 包含 中 华人 民 共 和 国电 信条 例 第 57 条 所 规定 内 
容 。 第 57 条 规定 ,不 得 利用 电信 网 制作 、 复 制 、 发 布 、 传 播 含 有 违反 国家 宪法 、 危 害 国家 安 
全 、 泄 露 国 家 机 密 .颠覆 国家 政权 、 破 坏 国家 统一 、 损 害 国家 荣誉 和 利益 ,煽动 民族 仇恨 、 民 族 
歧视 、 破 坏 民 族 团结 等 内 容 。 
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9.3.3 下 一 代 网 络 安全 技术 


学 者 腾 志 猛 , 匡 波 , 韦 银 星 在 《中兴 通讯 技术 )2007 年 第 5 期 就 “下 一 代 网 络 的 安全 技 
术 ” 进 行 了 探讨 ,主要 涉及 NGN 安全 基础 .NGN 安全 需求 ,安全 体系 架构 ,安全 机 制 等 内 
容 , 这 些 对 NGN 的 研究 和 部 署 有 一 定 的 参考 价值 。 


1. NGN 的 安全 基础 


NGN 基于 IP 技术 ,采用 业务 层 和 传送 层 相 互 分 离 、 应 用 与 业务 控制 相互 分 离 .传送 控 
制 与 传送 相互 分 离 的 思想 ,能 够 支持 现 有 的 各 种 接 入 技术 ,提供 语音 、 数 据 、 视 频 、 流 媒体 等 
业务 ,并 且 支 持 现 有 移动 网 络 上 的 各 种 业务 ,实现 固定 网 络 和 移动 网 络 的 融合 。 此 外 ,还 能 
够 根据 用 户 的 需要 ,保证 用 户 业务 的 服务 质量 。NGN 的 网 络 体系 架构 包括 应 用 .业务 控制 
层 , 传 送 控 制 层 、 传 送 层 、 网 络 管理 系统 、 用 户 网 络 和 其 他 网 络 , 如 图 9-2 所 示 。 


应 用 
十 ANI 应 用 一 网 络 接口 
本 J | 业务 层 
bebo 应 用 与 业务 支持 击溃 | 
l 
bs 业务 控制 [ff 
息 | | 用 
管 | | 此 | 传送 层 | | | 基 
理 网 传送 控制 层 网 
系 | | 络 |_| a 络 
统 接 入 控制 | ”| 资源 接纳 控制 上 上 了- 二 
传送 导 
[Ti | 接 入 网 骨干 网 |-- 上 -+ 
UNI UNI 
i 用 户 一 网 络 接口 


图 9-2 NGN 网 络 体系 架构 


ITU-T 在 X. 805 标准 中 全 面 地 规定 了 信息 网 络 端 到 端 安全 服务 体系 的 架构 模型 。 这 
一 模型 包括 3 层 3 面 8 个 维度 , 即 应 用 层 、 业 务 层 和 传送 层 , 管 理 平面 .控制 平面 和 用 户 平面 ， 
认证 \ 可 用 性 、 接 入 控制 ,不 可 抵赖 ,机 密 性 、 数 据 完整 性 、 私 密 性 和 通信 安全 ,如 图 9-3 所 示 。 

这 里 的 NGN 安全 体系 架构 是 在 应 用 X. 805 安全 体系 架构 基础 上 ,结合 NGN 体系 架 
构 和 IETF 相关 的 安全 协议 而 提出 来 的 ,如 图 9-4 所 示 , 这 样 可 以 有 效 地 指导 NGN 安全 解 
决 方案 的 实现 。 


2. NGN 的 安全 需求 


在 X. 805 标准 的 指导 下 ,通过 对 NGN 网 络 面临 的 安全 威胁 和 弱点 进行 分 析 ,NGN 安 
全 需求 大 致 可 以 分 为 安全 策略 ,认证 授权、 访问 控制 和 审计 ,时 间 戳 与 时 间 源 ,资源 可 用 性 ， 
系统 完整 性 ,操作 ,管理 ,维护 和 配置 安全 ,身份 和 安全 注册 ,通信 和 数据 安全 ,隐私 保证 , 密 
钥 管 理 ,NAT/ 防 火 墙 互 连 ,安全 保证 ,安全 机 制 增强 等 需求 。 
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安全 层 
| 应 用 安全 
< 
Ba 过 列国 人 要 环 
克 双 全 | 风 六 个 《 和 
| 上 吕 性 | 的 辣 本 加 加 加 恒 走 
Ld 辣 | 别 | 阐 鱼 峰 疾 | 《《 沪 密 
基础 设施 安全 中 断 
国 攻击 
用 户 平台 ee 
控制 平台 8 个 安全 尺度 
管理 平台 


图 9-3 X. 805 标准 端 到 端 安 全 体系 架构 


X.801 安 全 体系 架构 


NGN 休 系 架构 
Se 
IETF 安 全 太 议 | 


NGN 安 全 解决 方案 
图 9-4 NGN 安全 体系 架构 基础 


3. NGN 安全 体系 架构 


根据 NGN 分 层 的 思想 (如 图 9-1 所 示 ) ,NGN 安全 体系 架构 在 水 平方 向 上 可 以 划分 为 
传送 层 安全 和 业务 层 安全 。 传 送 层 和 业务 层 的 安全 体系 架构 应 相对 独立 ,传送 层 安全 体系 
架构 主要 是 解决 数据 传输 的 安全 ,业务 层 安全 体系 架构 主要 解决 业务 平台 的 安全 。 

NGN 安全 的 系统 架构 在 垂直 方向 上 可 以 划分 为 接 人 网 安全 .骨干 网 安全 和 业务 网 安 
全 ,从 而 使 得 原来 网 络 端 到 端 安全 变 成 了 网 络 逐 段 安 全 。 在 垂直 方向 上 ,NGN 可 以 被 划分 
成 多 个 安全 域 。 

接 人 网 通过 接 人 控制 部 分 对 用 户 的 接 和 人 进行 控制 ,防止 非 授权 用 户 访问 传送 网 络 ,并 负 
责 用 户 终端 IP 地 址 的 分 配 ; 骨干 网 通过 边界 网 关 对 网 络 互 连 进行 控制 ,保证 只 有 被 授权 的 
其 他 网 络 上 的 用 户 面 、 控 制 面 和 管理 面 才 能 接 入 信任 域 ; 业务 网 通过 业务 控制 部 分 和 根据 
需要 通过 应 用 与 业务 支持 部 分 对 用 户 访问 业务 进行 控制 ,防止 非 授 权 用 户 访 问 业 务 ,或 授权 
用 户 访 问 非 授 权 业 务 。 

安全 域 之 间 用 安全 网 关 (SEGF) 互 联 ,如 图 9-5 所 示 。 在 每 个 安全 域 里 ,除了 SEGF 之 
外 ,可 能 还 存在 SEG 证 书 权威 (CA) 和 互联 CA。 同 一 个 安全 域 的 SEGF 采用 IETF 安全 协 
议 实 现 域内 端 到 端 安 全 。 


4. NGN 的 安全 机 制 


NGN 安全 机 制 包括 以 下 机 制 : 
(1) 身份 识别 ,认证 与 授权 机 制 。 
(2) 传送 安全 机 制 。 
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应 用 
业务 层 
应 用 与 业务 支持 
业务 控制 
网 
络 用 其 
复 名 传送 层 四 
系 络 传送 控制 层 络 
号 接 入 控制 | 资源 接纳 控制 
传送 层 
接 入 网 骨干 网 
: 安全 网 关 
图 9-5 NGN 安全 体系 架构 
(3) 访问 控制 机 制 。 


(4) 审计 与 监控 机 制 。 

(5) 密 钥 交换 与 管理 机 制 。 
(6) OAMP 机 制 。 

(7) 系统 管理 机 制 。 


5. 提高 NGN 安全 的 方法 


学 者 谢 清 辉 在 (内 蒙古 科技 与 经 济 》(2010 年 11 期 ) 上 撰文 就 下 一 代 网 络 安全 问题 的 应 
对 方法 进行 探讨 ,提出 了 4 点 建议 。 

1) 跟踪 NGN 系统 面临 的 不 断 变化 的 各 种 安全 威胁 

启用 严格 的 网 络 安 全 机 制 , 系 统 关 闭 任 何不 使 用 的 网 络 服 务 , 防 止 非法 用 户 通 过 非法 的 
服务 人 侵 设 备 ; 通过 隔离 .过滤 、 监 测 、 认 证 和 加 密 等 手段 降低 遭受 攻击 的 可 能 性 ,并 检测 、 
记录 攻击 的 发 生 , 保 证 攻击 的 可 溯源 性 。 

2) 制定 NGN 安全 标准 规范 

由 于 各 厂家 在 保证 NGN 安全 方面 的 做 法 不 尽 相 同 ,迫切 需要 有 关 部 门 能 够 统一 协调 ， 
制定 统一 规范 ,以 保证 NGN 系统 在 业务 提供 层面 .NGN 信 令 层面 、IP 承载 层面 .终端 层面 
等 各 个 不 同 环节 的 互联 互通 及 NGN 业务 的 安全 提供 。 

3) 对 NGN 的 协议 安全 进行 深入 研究 

随 着 NGN 的 日 益 普及 ,SIP、BICC、H248 和 Sigt ran 等 NGN 协议 在 IP 承载 网 上 进行 
传输 时 需要 考虑 相应 的 协议 安全 性 、 反 攻击 性 ,需要 对 NGN 协议 的 安全 性 进一步 研究 , 防 
患 于 未 然 。 

4) 关注 NGN 终端 接 入 的 安全 

当前 NGN 核心 系统 的 建设 采用 物理 隔离 .VPN 逻辑 隔离 ,以 及 采用 防火 墙 等 安全 设 
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备 , 安 全 基本 上 得 到 保证 。 在 NGN 终端 层面 ,由 于 网 络 接 人 形式 多 种 多 样 , 面 临 的 安全 风 
险 很 多 ,给 NGN 整个 系统 的 安全 带 来 了 隐患 ,所 以 需要 业界 建立 标准 的 NGN 终端 接 人 安 
全 体系 。 提 高 NGN 网 络 的 安全 性 ,可 以 从 两 个 方面 人 手 : 网 络 部 署 和 安全 的 传输 。 


6.1 网 络 虚 拟 化 的 安全 


这 部 分 将 介绍 网 络 虚拟 化 的 概念 ,安全 威胁 和 安全 策略 。 
9.4.1 网 络 虚 拟 化 技术 


1. 云 计 算 与 虚拟 化 技术 


云 计算 是 IT 产业 的 又 一 次 变革 , 它 将 各 种 传统 的 计算 资源 ,存储 资 源 以 及 网 络 资源 ， 
通过 互联 网 全 部 转移 到 “ 云 中 ”, 用 户 不 必 了 解 设备 的 位 置 ,也 不 必 了 解 计算 的 过 程 ,而 只 要 
“ 按 需 使 用 ”就行 了 。 其 基本 原理 是 使 计算 从 本 地 计算 机 或 远程 服务 器 中 分 布 到 大 量 的 分 布 
式 计算 机 上 。 云 计算 是 随 着 处 理 器 技术 、 分 布 式 技术 、 虚 拟 化 技术 、 自 动 化 技术 和 互联 网 技 
术 的 发 展 而 产生 的 , 它 能 够 提供 动态 资源 池 、 虚 拟 化 和 高 可 用 性 的 下 一 代 计 算 平台 。 

虚拟 化 是 支撑 云 计算 的 重要 技术 基石 , 云 计算 中 所 有 应 用 的 物理 平台 和 部 署 环境 都 依 
赖 虚拟 平台 的 管理 ,扩展 .迁移 和 备份 ,各 操作 都 通过 虚拟 化 层次 完成 。 从 云 计算 的 最 重要 
的 虚拟 化 特点 来 看 ,大 部 分 软件 和 硬件 已 经 对 虚拟 化 有 了 一 定 支持 ,可 以 把 各 种 IT 资源 、 
软件 、 硬 件 .操作 系统 和 存储 网 络 等 要 素 都 进行 虚拟 化 , 放 在 云 计 算 平 台中 统一 管理 。 虚 拟 
化 技术 打破 了 各 种 物理 结构 之 间 的 壁垒 ,代表 着 把 物理 资源 转变 为 逻辑 可 管理 资源 的 必然 
趋势 ,不 久 的 将 来 所 有 的 资源 都 透明 地 运行 在 各 种 物理 平台 上 ,资源 的 管理 都 将 按 逻 辑 方式 
进行 ,完全 实现 资源 的 自动 化 分 配 ,而 虚拟 化 技术 则 是 实现 这 一 构想 重要 的 工具 ,如 图 9-6 
所 示 。 


昌 9 
客户 机 Web 浏 览 器 图 形 终端 中 
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9-6 网络 虚拟 化 
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2. 服务 器 虚拟 化 


服务 器 虚拟 化 是 将 底层 物理 设备 与 上 层 操作 系统 、 软 件 分 离 的 一 种 去 耦合 技术 , 它 将 硬 
件 、 操 作 系统 和 应 用 程序 一 同 装 和 人 一 个 可 迁移 的 虚拟 机 档案 文件 中 。 虚 拟 化 通过 其 管理 软 
件 将 多 个 物理 设备 纳入 统一 的 资源 池 进 行 管理 ,从 而 增强 了 物理 设备 和 物理 设备 之 间 的 耦 
合 性 。 在 单一 物理 服务 器 上 可 同时 运行 多 个 虚拟 机 ,同时 虚拟 机 之 间 相 互 隔离 ,以 提高 资源 
利用 率 , 降 低能 耗 , 实 现 服务 器 的 共享 和 隔离 。 虚 拟 机 可 以 根据 其 需求 弹性 增加 或 减少 其 分 
配 的 硬件 资源 ,提高 资源 配置 的 灵活 性 ,以 实现 资源 弹性 。 虚 拟 机 将 整个 系统 ,包括 硬件 配 
置 .操作 系统 以 及 应 用 等 封装 在 文件 里 ,用 于 系统 快速 部 署 、 软 件 发 布 、 系 统 备份 ,可 以 在 不 
同 服务 器 上 不 加 修改 直接 迁移 正在 运行 的 虚拟 机 ,增强 系统 的 可 靠 性 和 可 扩展 性 。 


3. 存储 虚拟 化 


存储 虚拟 化 (Storage Virtualization) 是 指 对 存储 硬件 资源 进行 抽象 化 的 表现 ,通过 将 一 
个 或 多 个 目标 服务 或 功能 与 其 他 附加 的 功能 集成 ,统一 提供 有 用 的 全 面 功 能 服务 。 虚 拟 化 
是 作用 在 一 个 或 者 多 个 实体 上 的 ,而 这 些 实体 则 是 用 来 提供 存储 资源 或 服务 。 存 储 虚拟 化 
是 一 种 贯穿 于 其 中 ,用 于 简化 本 来 可 能 会 相对 复杂 的 底层 基础 架构 的 技术 。 


4. 网 络 虚拟 化 


虚拟 化 的 计算 资源 和 存储 资源 最 终 都 以 网 络 形式 为 用 户 提 供 服务 。 如 何 通 过 虚拟 化 技 
术 提 高 网 络 资源 的 利用 率 , 如 何 让 网 络 具 备 灵活 的 可 扩展 性 和 可 管理 性 ,这 些 都 是 云 计 算 网 
络 研究 的 重点 。 网 络 虚拟 化 能 使 不 同 需 求 的 用 户 组 访问 同一 个 物理 网 络 , 但 逻辑 上 却 进行 
一 定 程度 的 隔离 ,使 其 保持 相对 的 独立 性 ,以 确保 网 络 的 安全 使 用 。 通 过 网 络 虚拟 化 技术 可 
把 多 个 封闭 的 用 户 组 设置 在 单一 物理 基础 设施 上 ,更 能 确保 整个 网 络 保 持 高 度 的 实用 性 、 安 
全 性 、 可 管理 性 和 可 扩展 性 。 网 络 虚拟 化 安全 、 弹 性 、 易 管理 和 自 适应 的 基础 网 络 特征 ,能 充 
分 满足 服务 器 、 存 储 设备 等 云 计算 所 需 其 他 虚拟 化 技术 对 现 有 网 络 带 来 的 挑战 。 

云 计算 的 基本 架构 主要 包括 云 服 务 器 、 存 储 和 网 络 ,基于 云 计算 的 网 络 架 构 又 可 分 为 数 
据 中 心 网 络 、 跨 数据 中 心 网 络 和 泛 在 的 云 接 入 网 络 三 个 部 分 。 

数据 中 心 网 络 虚拟 化 包括 核心 层 虚拟 化 、 接 入 层 虚 拟 化 和 虚拟 机 网 络 交 换 。 核 心 层 网 
络 虚拟 化 是 数据 中 心 核心 网 络 设备 的 虚拟 化 ,可 提高 资源 的 利用 率 以 及 交换 系统 的 灵活 性 
和 扩展 性 ,为 资源 的 动态 伸缩 和 灵活 调度 提供 支撑 ; 接 入 层 虚拟 化 实现 数据 中 心 接 入 层 的 
分 级 设计 ,支持 新 的 以 太 网 技术 和 各 种 灵活 的 部 署 方式 ; 虚拟 机 网 络 交换 通过 虚拟 网 络 交 
换 机 和 物理 网 卡 虚拟 化 ,在 服务 器 内 部 形成 相应 的 交换 机 和 网 卡 功能 。 

数据 中 心 之 间 通 过 跨 数据 中 心 网 络 进行 计算 或 存储 资源 的 迁移 和 调度 ,可 以 通过 构建 
大 范围 的 二 层 互联 网 络 来 进行 大 型 的 集群 计算 ,也 可 以 通过 构建 路 由 网 络 连 接 来 满足 多 个 
虚拟 数据 中 心 提 供 云 计算 服务 。 


9.4.2 网 络 虚拟 化 安全 威胁 


网 络 虚拟 化 后 ,出 现 了 新 的 安全 问题 。 房 晶 , 匡 里, 白松 林 在 (电信 科学 》(2012-4-15) 上 
发 表 的 文章 讨论 了 云 计算 的 虚拟 化 安全 问题 。 
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1. 虚拟 化 的 安全 问题 


虚拟 化 技术 对 于 云 计算 而 言 是 非常 重要 的 ,所 以 虚拟 化 的 安全 也 直接 关系 到 云 计 算 的 
安全 。 从 目前 研究 来 看 , 云 计 算 的 虚拟 化 安全 问题 主要 集中 在 以 下 几 点 。 

1) VM Hopping 

VM Hopping 指 一 台 虚 拟 机 可 能 监控 另 一 台 虚 拟 机 甚至 会 接 人 到 宿主 机 。 如 果 两 个 虚 
拟 机 在 同一 台 宿 主机 上 ,一 个 在 虚拟 机 1 上 的 攻击 者 通过 获取 虚拟 机 2 的 IP 地 址 或 通过 获 
得 宿主 机 本 身 的 访问 权限 可 接 人 到 虚拟 机 2。 攻 击 者 监控 虚拟 机 2 的 流量 ,可 以 通过 操纵 
流量 攻击 ,或 改变 它 的 配置 文件 将 虚拟 机 2 由 运行 改 为 离线 ,造成 通信 中 断 。 当 连接 重新 建 
立时 ,通信 需要 重新 开始 。 

2) VM Escape 

VM Escape 攻击 获得 监控 者 的 访问 权限 ,从 而 对 其 他 虚拟 机 进行 攻击 。 若 一 个 攻击 者 
接 入 的 主机 运行 多 个 虚拟 机 , 它 可 以 关闭 监控 者 ,最 终 导致 这 些 虚拟 机 关闭 。 

3) 远程 管理 缺陷 

监控 者 通常 由 管理 平台 来 为 管理 员 管 理 虚拟 机 。 例 如 ,Xen 用 XenCenter 管理 其 虚拟 
机 。 这 些 控制 台 可 能 会 引起 一 些 新 的 缺陷 ,例如 跨 站 脚本 攻击 .SQL 入 侵 等 。 

4) 拒绝 服务 (DoS) 的 缺陷 

在 虚拟 化 环境 下 ,资源 (如 CPU、 内 存 、 硬 盘 和 网 络 ) 由 虚拟 机 和 宿主 机 一 起 共享 。 因 
此 ,DoS 攻击 可 能 会 加 到 虚拟 机 上 ,从 而 获取 宿主 机 上 所 有 的 资源 ,因为 没有 可 用 资源 ,从 而 
造成 系统 将 会 拒绝 来 自 客户 的 所 有 请 求 。 

5) 基于 Rootkit 的 虚拟 机 

Rootkit 概念 出 现在 UNIX 中 , 它 是 一 些 收集 工具 ,能 够 获得 管理 员 级 别 的 计算 机 或 计 
算 机 网 络 访问 。 如 果 监 控 者 被 Rootkit 控制 ,Rootkit 可 以 得 到 整个 物理 机 器 的 控制 权 。 

6) 迁移 攻击 

迁移 攻击 可 以 将 虚拟 机 从 一 台 主 机 移动 到 另 一 台 , 也 可 以 通过 网 络 或 USB 复制 虚拟 
机 。 虚 拟 机 的 内 容 存储 在 监控 者 的 一 个 文件 中 。 在 虚拟 机 移动 到 另 一 个 位 置 的 过 程 中 , 虚 
拟 磁盘 被 重新 创建 ,攻击 者 能 够 改变 源 配置 文件 和 虚拟 机 的 特性 ,对 主机 形成 威胁 。 


2. 虚拟 化 安全 分 层 分 析 


虚拟 化 安全 有 两 个 方面 : 一 个 是 虚拟 化 软件 的 安全 ; 另 一 个 是 虚拟 服务 器 的 安全 。 

1) 虚拟 化 软件 的 安全 

软件 层 直接 部 署 于 裸 机 之 上 ,提供 能 够 创建 .运行 和 销毁 虚拟 服务 器 的 能 力 。 目 前 有 两 
种 攻击 方式 : 一 是 恶意 代码 通过 应 用 程序 接口 (API) 攻 击 , 因 虚拟 机 通过 调用 API 向 监控 
者 发 出 请 求 ,监控 者 要 确保 虚拟 机 只 会 发 出 经 过 认证 和 授权 的 请 求 。 二 是 通过 网 络 对 监控 
者 进行 攻击 。 通 常 ,监控 者 所 使 用 的 网 络 接口 设备 也 是 虚拟 机 所 使 用 的 。 如 果 网 络 配置 得 
不 是 很 严格 ,这 意味 着 虚拟 机 可 以 连接 到 监控 者 的 IP 地 址 ,并 且 可 以 在 监控 者 的 登录 密码 
没有 使 用 强 密码 保护 的 情况 下 入 侵 到 监控 者 。 这 种 不 严格 的 网 络 配置 还 可 能 导致 对 监控 者 
的 DoS 攻击 ,使 得 外 网 无 法 链接 到 监控 者 去 关闭 这 些 有 问题 的 虚拟 机 。 
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2) 虚拟 服务 器 的 安全 

服务 器 的 虚拟 化 相对 于 变化 了 的 网 络 架 构 , 相 应 地 也 产生 了 许多 安全 问题 。 服 务 器 虚 
拟 化 后 ,每 一 台 服 务 器 都 将 支持 若干 个 资源 密集 型 的 应 用 程序 ,可 能 出 现 负载 过 重 ,其 至 会 
出 现 物 理 服 务 器 崩溃 的 状况 。 在 管理 程序 设计 过 程 中 的 安全 隐患 会 传染 到 同 台 物 理 主机 上 
的 虚拟 机 ,造成 虚拟 机 溢出 ,此 时 的 虚拟 机 从 管理 程序 脱离 出 来 ,黑客 可 能 进入 虚拟 机 管理 
程序 ,能 够 避 开 虚拟 机 安全 保护 系统 ,对 虚拟 机 进行 危害 。 另 外 ,虚拟 机 迁移 以 及 虚拟 机 间 
的 通信 将 会 大 大 增加 服务 器 遭受 渗透 攻击 的 威胁 ,包括 接 人 和 管理 主机 的 密 钥 被 盗 ,攻击 未 
打 补 丁 的 主机 ,在 脆弱 的 服务 标准 端口 侦 听 ,劫持 未 采取 合适 安全 措施 的 账户 等 。 


9.4.3 网 络 虚拟 化 安全 策略 


网 络 虚 拟 化 后 ,将 出 现 虚 拟 化 软件 安全 和 虚拟 服务 器 安全 问题 。 为 此 , 余 秦 勇 , 童 试 , 陈 
林 在 《信息 安全 与 通信 保密 )(2012-11-10) 上 发 表 文章 ,就 网 络 虚拟 化 的 安全 策略 进行 了 讨论 ， 
提出 了 网 络 虚 拟 化 安全 建设 的 三 点 意见 ,并 从 网 络 虚拟 化 安全 规划 和 部 署 方面 进行 了 探索 。 


1. 虚拟 化 安全 建议 


虚拟 化 系统 的 安全 性 密切 依赖 每 个 组 件 自身 的 安全 ,这 些 组 件 包 括 Hypervisor、 宿 主 
OS 客户 OS,、 应 用 和 存储 ,实践 中 应 该 确保 对 这 些 组 件 的 安全 防护 基于 最 佳 实践 。 下 面 根 
据 虚 拟 化 系统 中 面临 的 风险 ,提供 针对 性 的 建议 。 

1) 监控 者 安全 

监控 者 管理 通信 保护 ,一 种 方法 是 采用 带 外 管理 ,通过 专门 的 管理 网 络 , 它 们 与 其 他 网 
络 独 立 开 来 , 仅 能 被 授权 的 管理 员 访 问 ; 另 一 种 方式 是 采用 加 密 技术 在 不 信任 的 网 络 上 的 
管理 通信 中 做 加 密 保护 ,例如 VPN 加 密 通 信 。 

增强 监控 者 安全 的 建议 : 

(1) 安装 厂商 发 布 的 监控 者 的 全 部 更 新 。 大 多 数 监控 者 具有 自动 检查 更 新 并 安装 的 功 
能 ,也 可 以 用 集中 化 补丁 管理 解决 方案 来 管理 更 新 。 

(2) 限制 管理 接口 的 访问 权限 。 用 专门 的 管理 网 络 实现 管理 通信 ,或 采用 加 密 模块 加 
密 和 认证 管理 网 络 通信 。 

(3) 关闭 所 有 不 用 的 监控 者 服务 ,如 剪贴 板 和 文件 共享 ,因为 每 个 这 种 服务 都 可 能 提供 
攻击 向 量 。 

(4) 使 用 监控 功能 来 监视 每 个 客户 操作 系统 的 安全 。 如 果 一 个 客户 操作 系统 被 攻击 
了 , 它 的 安全 控制 可 能 会 被 关闭 或 重新 配置 来 掩饰 被 攻击 的 征兆 。 使 用 监控 功能 来 监视 客 
户 操作 系统 之 间 的 行为 安全 。 在 虚拟 化 环境 中 ,网 络 的 监控 尤为 重要 。 

(5) 仔细 地 监控 监控 者 自身 的 漏洞 征兆 ,包括 使 用 监控 者 提供 的 自身 完整 性 监控 工具 
和 日 志 监 控 与 分 析 工 具 。 

2) 客户 操作 系统 安全 

如 果 客 户 操作 系统 被 恶意 软件 攻陷 了 , 它 可 能 通过 共享 磁盘 和 文件 夹 传播 ,特别 是 共享 
网 络 存储 ,因此 需要 加 强 采 用 了 共享 网 络 存储 的 虚拟 化 共享 磁盘 上 的 安全 防护 。 

客户 操作 系统 自身 的 安全 建议 : 

(1) 遵守 推荐 的 物理 操作 系统 管理 惯例 ,如 时 间 同 步 、 日 志 管理 ,认证 和 远程 访问 等 。 
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(2) 及 时 安装 客户 操作 系统 的 全 部 更 新 ,现在 的 所 有 操作 系统 都 可 以 自动 检查 更 新 并 
安装 。 
(3) 在 每 个 客户 操作 系统 里 断 开 不 用 的 虚拟 硬件 。 这 点 对 于 虚拟 驱动 器 (虚拟 CD、 虚 
拟 软驱 ) 尤为 重要 ,对 虚拟 网 络 适配器 ,包括 网 络 接口 .串口 ,并口 也 很 重要 。 

(4) 为 每 个 客户 操作 系统 采用 独立 的 认证 方案 ,除非 有 特殊 的 原因 需要 两 个 客户 操作 
系统 共享 证 书 。 

(5) 确保 客户 操作 系统 的 虚拟 设备 都 正确 联 到 宿主 系统 的 物理 设备 上 ,例如 在 虚拟 网 
卡 和 物理 网 卡 之 间 的 映射 。 

3) 虚拟 化 基础 设施 安全 

虚拟 化 提供 了 硬件 模拟 ,如 存储 、 网 络 。 把 多 个 客户 操作 系统 连接 在 一 起 的 监控 系统 有 
安全 风险 。 例 如 ,一 个 组 织 的 安全 策略 里 可 能 要 求 所 有 与 多 个 服务 器 连接 的 交换 机 必须 被 
管理 ,并 且 服 务 器 之 间 的 通信 被 监控 ,从 而 发 现 可 疑 行为 。 然 而 ,大 多 数 虚拟 系统 的 网 络 交 
换 机 没有 这 种 能 力 , 传 统 的 人 侵 检测 工具 可 能 没 法 融和 人 或 运行 在 虚拟 化 的 网 络 或 系统 中 。 
鉴于 虚拟 化 技术 变 得 越 来 越 流行 ,虚拟 IDS 和 IPS 技术 的 应 用 无 疑 将 会 更 加 普遍 。 


2. 网 络 虚拟 化 安全 规划 和 部 署 


实施 一 个 安全 虚拟 化 系统 的 关键 在 于 安装 .配置 和 部 署 之 前 进行 规划 ,许多 虚拟 化 的 安 
全 问题 和 性 能 问题 都 是 因为 缺乏 规划 和 管理 控制 。 在 系统 生命 周期 的 初始 规划 阶段 就 应 该 
考虑 到 安全 性 最 大 化 和 成 本 最 小 化 ,这 有 助 于 虚拟 化 系统 符合 组 织 的 相关 安全 策略 ,在 部 署 
之 后 再 考虑 安全 性 会 困难 和 昂贵 得 多 。 

1) 虚拟 化 系统 安全 规划 

规划 阶段 的 一 个 关键 工作 是 开发 虚拟 化 安全 策略 ,安全 策略 应 该 定义 组 织 允 许 哪 种 形 
式 的 虚拟 化 以 及 每 种 虚拟 化 下 能 够 使 用 的 程序 和 数据 。 安 全 策略 还 应 该 包括 组 织 的 虚拟 化 
系统 如 何 管理 .组织 的 策略 如 何 更 新 。 

2) 虚拟 化 系统 安全 设计 

一 旦 组 织 建立 了 虚拟 化 安全 策略 ,确定 了 虚拟 化 需求 ,完成 了 其 他 准备 工作 ,下 一 步 就 
是 决定 使 用 哪 种 类 型 的 虚拟 化 技术 并 设计 安全 解决 方案 。 这 一 阶段 里 , 需 明 确 虚拟 化 解决 
方案 和 相关 组 件 的 技术 特征 ,包括 认证 方式 和 保护 数据 的 加 密 机 制 。 

3) 虚拟 化 系统 安全 实施 

虚拟 化 解决 方案 设计 好 以 后 ,下 一 步 就 是 把 解决 方案 变 成 实际 的 系统 ,涉及 的 方面 如 
下 : 第 一 ,物理 到 虚拟 的 转化 ; 第 二 ,监控 方面 ,确保 虚拟 化 系统 提供 了 必要 的 监控 能 力 , 对 
Guest OS 内 发 生 的 安全 事件 进行 监控 ; 第 三 ,实施 的 安全 性 ,部 署 其 他 安全 控制 和 技术 的 
配置 ,如 安全 事件 登录 、 网 络 管理 和 认证 服务 器 集成 。 

4) 虚拟 化 系统 安全 运 维 

运 维 对 保持 虚拟 化 系统 的 安全 尤其 重要 ,应 当 严 格 按 策 略 执行 。 这 一 阶段 应 当 执 行 的 
安全 任务 包括 确保 只 有 授权 的 管理 员 能 物理 访问 监控 者 的 硬件 ,人 逻辑 访问 监控 者 软件 和 宿 
主 操 作 系 统 ; 检查 监控 者 、 每 个 客户 操作 系统 、 主 机 操作 系统 以 及 每 个 客户 操作 系统 上 运行 
的 所 有 应 用 软件 的 更 新 ,为 虚拟 环境 中 的 所 有 系统 获取 、 测 试 和 配置 这 些 更 新 ; 确保 每 个 虚 
拟 化 组 件 的 时 间 与 一 个 通用 的 时 间 资 源 同 步 , 使 得 时 间 截 与 其 他 系统 产生 的 时 间 截 匹配 ; 
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在 需要 时 重新 配置 访问 控制 属性 : 基于 策略 变化 ,技术 变化 、 审 计 发 现 以 及 新 的 安全 需求 等 
因素 ; 把 虚拟 化 环境 中 发 现 的 异常 记 成 文档 ,这 些 异 常 可 能 预示 着 恶意 行为 或 背离 策略 的 
事件 ; 组 织 应 当 周 期 地 执行 评估 来 确认 组 织 的 虚拟 化 策略 ,步骤 和 过 程 都 被 正确 地 遵循 ,在 
虚拟 化 基础 设施 的 每 一 层 都 要 做 评估 ,包括 宿主 和 客户 操作 系统 ,监控 者 和 共享 存储 介质 。 


6.5 移动 通信 接 入 安全 


移动 通信 (Mobile Communication) 是 移动 体 之 间 的 通信 ,或 移动 体 与 固定 体 之 间 的 通 
信 。 这 部 分 将 介绍 2G/3G/4G 移动 通信 的 概念 ,2G 安全 机 制 ,3G 安全 威胁 ,3G 安全 需求 
和 3G 安全 体系 ,以 及 4G 的 安全 威胁 和 安全 策略 。 


9.5.1 2G 移动 通信 及 安全 


以 下 内 容 是 在 西南 交通 大 学 毛 光 灿 的 硕士 论文 (2003 六 移动 通信 安全 研究 "和 其 他 资料 
的 基础 上 进行 概要 和 整理 后 的 结果 。 


1. 2G 概述 


2G 是 第 二 代 (Second Generation) 移 动 通信 技术 规格 的 简称 ,相对 于 前 一 代 直 接 以 类 比 
方式 进行 语音 传输 ,2G 移动 通信 系统 对 语音 以 数字 化 方式 传输 ,除了 具有 通话 功能 外 , 某 些 
系统 引入 了 短信 (Short Message Service,SMS) 功 能 。 在 某 些 2G 系统 中 也 支援 资料 传输 与 
传真 ,但 因为 速度 缓慢 ,只 适合 传输 量 低 的 电子 邮件 、 软 件 等 信息 。2G 采用 多 路 复 用 
(Multiplexing) 技 术 ,该 技术 可 分 成 两 类 : 一 种 是 基于 TDMA 所 发 展 出 来 的 系统 ,以 GSM 
为 代表 ; 另 一 种 则 是 基于 CDMA 规格 所 发 展 出 来 的 系统 ,例如 CDMA One。 

第 二 代 手 机 通信 技术 规格 标准 有 : GSM 是 基于 TDMA 发 展 起 来 的 , 源 于 欧洲 ,目前 已 
全 球 化 。IDEN 是 基于 TDMA 发 展 起 来 的 .美国 独 有 的 系统 ,被 美国 电信 系统 商 Nextell 使 
用 。IS-136( 也 叫做 D-AMPS) 是 基于 TDMA 发 展 起 来 的 ,是 美国 最 简单 的 TDMA 系统 ,用 
于 美洲 。IS-95( 也 叫做 CDMAOne) 是 基于 CDMA 发 展 起 来 的 ,是 美国 最 简单 的 CDMA 系 
统 , 用 于 美洲 和 亚洲 一 些 国 家 。PDC(Personal Digital Cellular) 是 基于 TDMA 发 展 起 来 的 ， 
仅 在 日 本 普及 。 


2. 2G 安全 目标 和 特性 


2G 安全 目标 是 防止 未 经 许可 的 人 操作 MS( 假 扮 合法 用 户 ) ,非法 使 用 其 资源 ,保护 网 
络 防止 未 授权 的 接 人 ; 保护 用 户 的 隐私 ,防止 无 线路 径 上 交换 的 信息 被 窃听 。 

2G 安全 特性 包括 用 户 永久 身份 (IMSDD) 的 保密 ; 网 络 对 用 户 的 认证 ; 物理 连接 的 用 户 
数据 的 保密 ; 无 连接 用 户 数据 的 保密 (SMS, 短 消息 服务 ); 信 令 信息 单元 的 保密 。 


3. 2G 安全 特性 的 具体 实现 机 制 


在 GSM 系统 中 ,为 了 实现 安全 特性 和 目标 ,主要 采取 了 以 下 安全 措施 : 接 人 网 络 方面 
采用 了 对 用 户 鉴 权 ; 无 线 链 路 上 采用 对 通信 信息 加 密 ; 用 户 身份 (IMSI) 采 用 临时 识别 码 
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(TMSD 保 护 ; 对 移动 设备 采用 设备 识别 ; SIM 卡 用 PIN 码 保护 。 

1) 临时 识别 (用 户 身份 保密 ) 

为 了 保护 用 户 的 隐私 ,防止 用 户 位 置 被 跟踪 ,SM 中 使 用 临时 识别 符 TMSI 方式 来 对 用 
户 身份 进行 保密 ,不 在 特殊 情况 下 不 会 使 用 用 户 的 IMSI 对 用 户 进行 识别 ,只 有 在 网 络 根 据 
TMSI 无 法 识别 出 它 所 在 的 HLR/AUC, 或 是 无 法 到 达 用 户 所 在 的 HLR/AUC, 才 会 使 用 
用 户 的 IMSI 来 识别 用 户 ,从 它 所 在 的 HLR/AUC 获取 鉴 权 参数 来 对 用 户 进 行 认证 。 在 
GSM 中 TMSI 总 是 与 一 定 的 LAI( 位 置 区 识别 符 ) 相 关联 , 当 用 户 所 在 的 LA( 位 置 区 ) 发 生 
改变 时 ,通过 位 置 区 更 新 过 程 实现 TMSI 的 重新 分 配 , 重 新 分 配给 用 户 的 TMSI 是 在 用 户 的 
认证 完成 时 ,启动 加 密 模式 后 ,由 VLR 加 密 后 传送 给 用 户 ,从 而 实现 了 TMSI 的 保密 。 同 
时 在 VLR 中 保存 新 分 配给 用 户 的 TMSI, 将 旧 的 TMSI 从 VLR 中 删除 。 

2) 鉴 权 (用 户 人 网 认证 ) 

使 用 鉴 权 三 参数 组 (加 密 密 钥 K., 随 机 数 RAND, 符 号 响应 SRES) 实 现 用 户 鉴 权 。 在 
用 户 入 网 时 ,用 户 鉴 权 键 Ki 连同 IMSI 一 起 分 配给 用 户 。 在 网 络 端 Ki 存储 在 鉴 权 中 心 
AUC, 在 用 户 端 K; 存储 在 SIM 卡 中 。 鉴 权 参 数 由 网 络 中 的 鉴 权 中 心 生 成 ,在 AUC 中 执行 
相应 的 算法 产生 鉴 权 三 参数 组 : 由 一 个 随机 数 发 生 器 生成 随机 数 RAND; 使 用 A3 算法 , 生 
成 符号 响应 SRES 王 A3(RAND,Ki) : 使 用 As 算法 ,生成 加 密 密 钥 Ke 一 ASCRAND,Ki) 。 

AUC 应 MSC/VLR 的 请 求 ,每 次 生成 若干 个 三 参数 组 (RAND,SRES,K。) ,并 将 生成 
的 三 参数 组 存储 在 HLR 中 。HLR 存储 每 个 用 户 的 三 参数 组 ,并 在 MSC/vLR 请 求 时 传送 
给 它 ,以 此 保证 对 网 络 中 的 所 有 访问 用 户 至 少 有 一 个 未 使 用 的 三 参数 组 。 在 用 户 需要 接 人 
认证 时 ,MSC/VLR 向 移动 台 (MS) 发 送 RAND,MS 使 用 存储 在 SIM 卡 中 的 和 AUC 中 一 
样 的 Ki; 与 算法 计算 出 SRES。 然 后 把 SRES 回 送 给 MSC/VLR, 验 证 其 合法 性 ,是 否 让 其 接 
入 网 络 。 在 MS 位 置 更 新 ,做 主 叫 或 被 叫 , 补 充 业 务 的 激活 或 去 活 , 位 置 登记 或 删除 之 前 均 
需要 鉴 权 。 

3) 加 密 

网 络 对 用 户 的 数据 进行 加 密 , 以 防止 窍 听 。 加 密 是 受 鉴 权 过 程 中 产生 的 加 密 密 钥 K。 
控制 的 ,加 密 密 钥 的 产生 过 程 是 通过 密 钥 算法 A。 和 加 密 算法 A3 有 相同 的 输入 参数 
RAND 和 Ki, 因而 可 以 将 两 个 算法 合 为 一 个 算法 ,用 来 计算 符号 响应 和 加 密 密 钥 。 加 密 密 
钥 K。 不 在 无 线 接口 上 传送 ,而 是 存在 SIM 卡 和 AUC 中 ,分 别 由 这 两 部 分 来 完成 相应 的 
算法 。 

4) 设备 识别 

设备 识别 是 防止 盗用 或 非法 设备 人 网 使 用 。 

(1) MSC/VLR 向 MS 请 求 IMEI( 国 际 移动 设备 识别 码 ) ,并 将 其 发 送 给 EIR( 设 备 识 
别 寄存 器 ) 。 

(2) 收 到 IMEI 后 ,EIR 使 用 它 所 定义 的 三 个 清单 : 白 名 单 , 黑 名 单 和 灰 名 单 。 

(3) 将 设备 鉴定 结果 发 送 给 MSCVVLR ,以 决定 是 否 人 允许 人 网 。 


4. 2G 的 安全 缺陷 


2G 的 安全 缺陷 主要 包括 : 单 向 身份 认证 ; 使 用 明文 进行 传输 , 易 造 成 密 钥 信 息 泄 露 ; 
加 密 功能 没有 延伸 到 核心 网 ; 无 法 抗击 重 放 攻击 ; 无 消息 完整 性 认证 ,无 法 保证 数据 在 链 
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路 中 传输 过 程 中 的 完整 性 ; 用 户 漫游 时 ,归属 网 络 (HE) 不 知道 和 无 法 控制 服务 网 络 (SN) 
如 何 使 用 自己 用 户 的 认证 参数 ; 无 第 三 方 仲裁 功能 。 系 统 安全 缺乏 升级 能 力 。 


9.5.2 3G 移动 通信 及 威胁 
1. 3G 移动 通信 概述 


第 三 代 移 动 通信 技术 (3rd-Generation,3G) 是 指 支持 高 速 数据 传输 的 蜂窝 移动 通信 技 
术 。3G 服务 能 够 同时 传送 声音 及 数据 信息 ,速率 一 般 在 几 百 kbps 以 上 。3G 是 指 将 无 线 通 
信 与 国际 互联 网 等 多 媒体 通信 结合 的 新 一 代 移 动 通信 系统 。3G 有 4 种 标准 : CDMA2000、 
WCDMA TD-SCDMA 和 WiMAX。 

3G 与 2G 的 主要 区 别 是 在 传输 声音 和 数据 的 速度 上 的 提升 , 它 能 够 在 全 球 范围 内 更 好 
地 实现 无 线 漫游 ,并 处 理 图 像 .音乐 和 视频 流 等 多 种 媒体 形式 ,提供 包括 网 页 浏览 .电话 会 议 
和 电子 商务 等 多 种 信息 服务 ,同时 也 要 考虑 与 已 有 第 二 代 系 统 的 良好 兼容 性 。 为 了 提供 这 
种 服务 ,无 线 网 络 必须 能 够 支持 不 同 的 数据 传输 速度 ,也 就 是 说 在 室内 、 室 外 和 行车 的 环境 
中 能 够 分 别 支持 至 少 2Mbps( 兆 比特 / 秒 ) .384kbps( 千 比特 / 秒 ) 以 及 144kbps 的 传输 速度 。 

3G 是 第 三 代 通 信 网 络 ,目前 国内 支持 国际 电 联 确定 的 三 个 无 线 接口 标准 ,分 别 是 中 国 
电信 的 CDMA2000 ,中 国联 通 的 WCDMA, 中 国 移动 的 TD-SCDMA。GSM 设备 采用 的 是 
时 分 多 址 ,而 CDMA 使 用 码 分 扩 频 技术 ,先进 功率 和 语音 激活 至 少 可 提供 大 于 3 倍 GSM 
网 络 容量 。 业 界 将 CDMA 技术 作为 3G 的 主流 技术 ,国际 电 联 确定 三 个 无 线 接口 标准 ,分 
别 是 美国 CDMA2000, 欧 洲 WCDMA ,中国 TD-SCDMA。 原 中 国联 通 的 CDMA 卖 给 中 国 
电信 ,中 国电 信 已 经 将 CDMA 升级 到 3G 网 络 ,3G 的 主要 特征 是 可 提供 移动 宽带 多 媒体 
业务 。 


2. 3G 标准 


3G 标准 分 别 是 WCDMA (欧洲 版 ) .CDMA2000( 美 国 版 ) TD-SCDMA (中 国 版 ) 和 
WiMAX。 国 际 电信 联盟 (ITU) 在 2000 年 5 月 确定 WCDMA CDMA2000 和 TD-SCDMA 
三 大 主流 无 线 接口 标准 , 写 和 人 3G 技术 指导 性 文件 (2000 年 国际 移动 通信 计划 》( 简 称 
IMT-2000) 。2007 年 , WiMAX 也 被 接受 为 3G 标准 之 一 。CDMA (Code Division Multiple 
Access, 码 分 多 址 ) 是 第 三 代 移 动 通信 系统 的 技术 基础 。 第 一 代 移动 通信 系统 采用 频 分 多 址 
(FDMA) 的 模拟 调制 方式 ,这 种 系统 的 主要 缺点 是 频谱 利用 率 低 , 信 令 干 扰 语 音 业 务 。 第 二 
代 移 动 通信 系统 主要 采用 时 分 多 址 (TDMA) 的 数字 调制 方式 ,提高 了 系统 容量 ,并 采用 独 
立信 道 传送 信 令 ,使 系统 性 能 大 大 改善 .但 TDMA 的 系统 容量 仍然 有 限 , 越 区 切换 性 能 仍 
不 完善 。CDMA 系统 以 其 频率 规划 简单 、 系 统 容量 大 、 频 率 复 用 系数 高 . 抗 多 径 能 力 强 、 通 
信和 质量 好 、 软 容量 、 软 切换 等 特点 显示 出 巨大 的 发 展 潜力 。 下 面 分 别 介绍 一 下 3G 的 几 种 
标准 : 

1) WCDMA 

全 称 为 Wideband CDMA, 也 称 为 CDMA Direct Spread, 意 为 宽频 分 码 多 重 存 取 , 这 是 
基于 GSM 网 发 展 出 来 的 3G 技术 规范 ,是 欧洲 提出 的 宽带 CDMA 技术 , 它 与 日 本 提出 的 宽 
带 CDMA 技术 基本 相同 ,目前 正在 进一步 融合 。WCDMA 的 支持 者 主要 是 以 GSM 系统 为 
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主 的 欧洲 厂商 ,日 本 公司 也 或 多 或 少 参 与 其 中 ,包括 欧美 的 爱立信 、 阿 尔 卡特 诺基亚、 朗讯 、 
北 电 , 以 及 日 本 的 NTT、 富 士 通 、 夏 普 等 厂商 。 该 标准 提出 了 GSM(2G)- 一 GPRS-~EDGE-~~ 
WCDMA(3G) 的 演进 策略 。 这 套 系统 能 够 架设 在 现 有 的 GSM 网 络 上 ,对 于 系统 提供 商 而 
言 可 以 较 轻易 地 过 渡 。 预 计 在 GSM 系统 相当 普及 的 亚洲 ,对 这 套 新 技术 的 接受 度 会 相当 
高 ,因此 WCDMA 具有 先天 的 市 场 优势 。WCDMA 已 是 当前 世界 上 采用 的 国家 及 地 区 最 
广泛 的 ,终端 种 类 最 丰富 的 一 种 3G 标准 ,占据 全 球 80% 以 上 市 场 份 额 。 

2) CDMA2000 

CDMA2000 是 由 窄带 CDMA(CDMA IS95) 技 术 发 展 而 来 的 宽带 CDMA 技术 ,也 称 为 
CDMA Maulti-Carrier, 它 是 由 美国 高 通 北美 公司 为 主导 提出 ,摩托 罗拉 、Lucent 和 后 来 加 入 
的 韩国 三 星 都 有 参与 ,韩国 成 为 该 标准 的 主导 者 。 这 套 系统 是 从 窄 频 CDMAOne 数字 标准 
衍生 出 来 的 ,可 以 从 原 有 的 CDMAOne 结构 直接 升级 到 3G, 建 设 成 本 低廉 。 但 使 用 CDMA 
的 地 区 只 有 日 . 韩 和 北美 ,所 以 CDMA2000 的 支持 者 不 如 W-CDMA 多 。 不 过 CDMA2000 
的 研发 技术 却 是 目前 各 标准 中 进度 最 快 的 ,许多 3G 手机 已 经 率先 面世 。 该 标准 提出 了 
CDMA IS95(2G) 一 CDMA20001x 一 CDMA20003x(3G) 的 演进 策略 。CDMA20001x 被 称 
为 2. 5 代 移 动 通信 技术 。CDMA20003x 与 CDMA20001x 的 主要 区 别 在 于 应 用 了 多 路 载波 
技术 ,通过 采用 三 载波 使 带宽 提高 。 中 国电 信 正 在 采用 这 一 方案 向 3G 过 渡 ,并 已 建成 了 
CDMA IS95 网 络 。 

3) TD-SCDMA 

TD-SCDMA(Time Division-Synchronous CDMA, 时 分 同步 CDMA) 标 准 是 由 中 国 大 
陆 独 自制 定 的 3G 标准 ,1999 年 6 月 29 日 ,中 国 原 邮 电 部 电信 科学 技术 研究 院 ( 大 唐 电信 ) 
向 ITU 提出 ,但 技术 发 明 始 于 西门 子 公司 。TD-SCDMA 具有 辐射 低 的 特点 ,被 誉 为 绿色 
3G。 该 标准 将 智能 无 线 、 同 步 CDMA 和 软件 无 线 电 等 当今 国际 领先 技术 融 于 其 中 ,在 频谱 
利用 率 、 对 业务 支持 具有 灵活 性 .频率 灵活 性 及 成 本 等 方面 的 独特 优势 。 另 外 ,由 于 中 国内 
地 庞大 的 市 场 , 该 标准 受到 各 大 主要 电信 设备 厂商 的 重视 ,全 球 一 半 以 上 的 设备 厂商 都 宣布 
可 以 支持 TD-SCDMA 标准 。 该 标准 提出 不 经 过 2. 5 代 的 中 间 环 节 ,直接 向 3G 过 渡 ,非常 
适用 于 GSM 系统 向 3G 升级 。 军 用 通信 网 也 是 TD-SCDMA 的 核心 任务 。 相 对 于 另外 两 
个 主要 的 3G 标准 CDMA2000 和 WCDMA , 它 的 起 步 较 晚 ,技术 不 够 成 熟 。 

4) WiMAX 

WiMAX(Worldwide Interoperability for Microwave Access, 微 波 存 取 全 球 互通 ) 又 称 
为 802，16 无 线 城 域 网 ,是 一 种 为 企业 和 家 庭 用 户 提供 “最 后 一 英里 ”的 宽带 无 线 连 接 方案 。 
将 此 技术 与 需要 授权 或 免 授 权 的 微波 设备 相 结 合 之 后 ,由 于 成 本 较 低 ,将 扩大 宽带 无 线 市 
场 ,改善 企业 与 服务 供应 商 的 认 知 度 。2007 年 10 月 19 日 ,在 国际 电信 联盟 在 日 内 瓦 举 行 
的 无 线 通信 全 体会 议 上 ,经 过 多 数 国 家 投票 通过 , WiMAX 正式 被 批准 成 为 继 WCDMA、 
CDMA2000 和 TD-SCDMA 之 后 的 第 4 个 全 球 3G 标准 。 


3. 3G 移动 通信 安全 威胁 


3G 系统 的 安全 威胁 大 致 可 以 分 为 如 下 几 类 : 
(1) 敏感 数据 的 非法 获取 ,对 系统 信息 的 保密 性 进行 攻击 。 其 中 主要 包括 : 
中 侦 听 。 攻 击 者 对 通信 和 链 路 进行 非法 窃听 ,获取 消息 。 
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@ 伪装 。 攻 击 者 伪装 合法 身份 , 诱 使 用 户 或 网 络 相信 其 身份 合法 ,从 而 窃取 系统 信息 。 

@ 流量 分 析 。 攻 击 者 对 链 路 中 消息 的 时 间 、 速 率 \、 源 及 目的 地 等 信息 进行 分 析 , 从 而 判 
断 用 户 位 置 或 了 解 重要 的 商业 交易 是 否 正在 进行 。 

@ 浏览 。 攻 击 者 对 敏感 信息 的 存储 位 置 进行 搜索 。 

@ 泄露 。 攻 击 者 利用 合法 接 人 进程 获取 敏感 信息 。 

@ 试探 。 攻 击 者 通过 向 系统 发 送 一 信号 来 观察 系统 反应 。 

(2) 对 敏感 数据 的 非法 操作 ,对 消息 的 完整 性 进行 攻击 。 主 要 包括 对 消息 的 自 改 、 捅 
入 、 重 放 或 删除 。 

(3) 对 网 络 服务 的 干扰 或 滥用 。 结 果 导 致 系统 拒绝 服务 或 导致 系统 服务 质量 的 降低 。 
主要 包括 : 

干扰 。 攻 击 者 通过 阻塞 用 户 业 务 、 信 令 或 控制 数据 使 合法 用 户 无 法 使 用 网 络 资源 。 

@ 资源 耗 尽 。 攻 击 者 通过 使 网 络 过 载 ,从 而 导致 用 户 无 法 使 用 服务 。 

@ 特权 滥用 。 用 户 或 服务 网 络 利用 其 特权 非法 获取 非 授 权 信息 。 

@ 服务 滥用 。 攻 击 者 通过 滥用 某 些 系统 服务 ,从 而 获取 好 处 ,或 者 导致 系统 崩溃 。 

(4) 和 否认。 主要 指 用 户 或 网 络 和 否认 曾经 发 生 的 动作 。 

(5) 对 服务 的 非法 访问 。 主 要 包括 攻击 者 伪造 成 网 络 和 用 户 实体 ,对 系统 服务 进行 非 
法 访问 。 用 户 或 网 络 通过 滥用 访问 权利 非法 获取 未 授权 服务 。 


4. 针对 3G 系统 无 线 接口 的 攻击 


(1) 对 非 授权 数据 的 非法 获取 。 基 本 手段 包括 对 用 户 业 务 的 窃听 、 对 信和 令 与 控制 数据 
的 窃听 、 伪 装 网 络 实体 截取 用 户 信息 以 及 对 用 户 流量 进行 主动 与 被 动 分 析 。 

(2) 对 数据 完整 性 的 攻击 。 主 要 是 对 系统 无 线 链 路 中 传输 的 业务 与 信 令 .控制 消息 进 
行 自 改 ,包括 搬入、 修改 和 删除 等 。 

(3) 拒绝 服务 攻击 。 拒 绝 服务 攻击 可 分 为 三 个 不 同 层次 ， 

@ 物理 级 干扰 。 攻 击 者 通过 物理 手段 对 系统 无 线 链 路 进行 干扰 ,从 而 使 用 户 数据 与 信 
令 数 据 无 法 传输 。 物 理 攻击 的 一 个 例子 就 是 阻塞 。 

加 协议 级 干扰 。 攻 击 者 通过 诱 使 特定 的 协议 失败 流程 干扰 正常 的 通信 。 

@ 伪装 成 网 络 实体 拒绝 服务 。 攻 击 者 伪装 成 合法 网 络 实体 ,对 用 户 的 服务 请 求 作出 拒 
绝 回答 。 

(4) 对 业务 的 非法 访问 攻击 。 攻 击 者 伪装 成 其 他 合法 用 户 身份 ,非法 访问 网 络 ,或 切 人 
用 户 与 网 络 之 间 ,进行 中 间 攻 击 。 

(5) 主动 用 户 身份 捕获 攻击 。 攻 击 者 伪装 成 服务 网 络 , 对 目标 用 户 发 身份 请 求 , 从 而 捕 
获 用 户 明 文 形式 的 永久 身份 信息 。 

(6) 对 目标 用 户 与 攻击 者 之 间 的 加 密 流程 进行 压制 ,使 加 密 流程 失效 。 基 本 的 手段 有 : 

(攻击 者 伪装 成 一 服务 网 络 , 分 别 与 用 户 和 合法 服务 网 络 建立 链 路 ,转发 交互 信息 ,从 
而 使 加 密 流程 失效 。 

@ 攻击 者 伪装 成 服务 网 络 ,通过 发 适当 的 信 令 使 加 密 流程 失效 。 

@ 攻击 者 通过 算 改 用 户 与 服务 网 络 间 信 令 ,使 用 户 与 网 络 的 加 密 能 力 不 匹 配 ,从 而 使 
加 密 流程 失效 。 
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5. 针对 系统 核心 网 的 攻击 


(1) 对 数据 的 非法 获取 。 基 本 手段 包括 对 用 户 业务 、 信 令 及 控制 数据 的 窃听 ,冒充 网 络 
实体 截取 用 户 业 务 及 信 令 数据 ,对 业务 流量 的 被 动 分 析 , 对 系统 数据 存储 实体 的 非法 访问 ， 
以 及 在 呼叫 建立 阶段 伪装 用 户 位 置信 息 等 。 

(2) 对 数据 完整 性 的 攻击 。 基 本 手段 包括 对 用 户 业 务 与 信 令 消息 进行 自 改 ,对 下 载 到 
用 户 终端 或 USIM 的 应 用 程序 及 数据 进行 自 改 ,通过 伪装 成 应 用 程序 及 数据 的 发 起 方 自 改 
用 户 终端 或 USIM 的 行为 , 算 改 系统 存储 实体 中 存储 的 用 户 数据 等 。 

(3) 拒绝 服务 攻击 。 基 本 手段 包括 物理 干扰 ,协议 级 干扰 ,伪装 成 网 络 实体 对 用 户 请 求 
作出 拒绝 回答 ,滥用 紧急 服务 等 。 

(4) 否定 。 主 要 包括 对 费用 的 否定 ,对 发 送 数据 的 否定 等 。 

(5) 对 非 授权 业务 的 非法 访问 。 基 本 手段 包括 伪装 成 用 户 归 属 网 络 滥用 特权 非法 访问 
非 授权 业务 。 


6. 针对 终端 和 用 户 智能 卡 的 攻击 


(1) 使 用 偷窃 的 终端 和 智能 卡 。 

(2) 对 终端 或 智能 卡 中 的 数据 进行 自 改 。 

(3) 对 终端 与 智能 卡 间 的 通信 进行 侦 听 。 

(4) 伪装 身份 截取 终端 与 智能 卡 间 的 交互 信息 。 
(5) 非法 获取 终端 或 智能 卡 中 存储 的 数据 。 


9.5.3 3G 移动 通信 安全 体系 


第 三 代 移动 通信 系统 (3G) 在 2G 的 基础 上 进行 了 改进 ,继承 了 2G 系统 安全 的 优点 , 同 
时 针对 3G 系统 的 新 特性 ,定义 了 更 加 完善 的 安全 特征 与 安全 服务 。 


1. 3G 移动 通信 系统 的 安全 体系 


为 实现 3G 安全 特征 的 一 般 目标 ,应 针对 它 所 面临 的 各 种 安全 威胁 和 攻击 ,从 整体 上 研 
究 和 实施 3G 系统 的 安全 措施 ,只 有 这 样 才能 有 效 保障 3G 系统 的 信息 安全 。 图 9-7 给 出 了 
一 个 完整 的 3G 系统 安全 体系 图 。 


用 户 应 用 程序- 服务 提供 商 应 用 程 记 应 用 层 
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在 3G 系统 的 安全 体系 中 定义 了 5 个 安全 特征 组 ,它们 涉及 传输 层 、 归 属 / 服 务 层 和 应 
用 层 , 同 时 也 涉及 移动 用 户 (包括 移动 设备 MS) 、 服 务 网 和 归属 环境 。 每 一 安全 特征 组 用 以 
对 抗 某 些 威胁 和 攻击 ,实现 3G 系统 的 某 些 安全 目标 ,具体 如 下 : 

(1) 网 络 接 入 安全 。 该 安全 特征 组 提供 用 户 安全 接 入 3G 业务 ,特别 是 对 抗 在 无 线 接 人 
链 路 上 的 攻击 。 

(2) 网 络 域 安全 。 该 安全 特征 组 使 网 络 运 营 者 之 间 的 结 点 能 够 安全 地 交换 信 令 数据 ， 
对 抗 在 有 限 网 络 上 的 攻击 。 

(3) 用 户 域 安全 。 该 安全 特征 组 确保 安全 接 入 移动 设备 。 

(4) 应 用 域 安 全 。 该 安全 特征 组 使 得 用 户 和 网 络 运营 者 之 间 的 各 项 应 用 能 够 安全 地 交 
换 信息 。 

(5) 安全 的 可 知性 和 可 配置 性 。 该 安全 特征 集 使 得 用 户 能 知道 一 个 安全 特征 组 是 否 在 
运行 ,并 且 业 务 的 应 用 和 设置 是 否 依赖 于 该 安全 特征 。 


2. 3G 系统 的 防范 策略 


3G 移动 通信 系统 中 的 安全 防范 技术 是 在 2G 的 安全 基础 上 建立 起 来 的 , 它 克服 了 2G 
系统 中 的 安全 问题 ,也 增加 了 新 的 安全 功能 ,下 面 从 用 户 身份 保密 、 认 证 以 及 数据 传输 的 保 
密 性 与 完整 性 等 几 个 方面 对 3G 系统 中 主要 的 安全 防范 策略 加 以 介绍 。 

1) 实体 认证 

3G 系统 的 实体 间 认证 过 程 比 原 有 2G 系统 认证 功能 增强 很 多 , 且 增 加 了 新 功能 ,具体 
有 以 下 三 个 方面 : 3G 系统 完成 了 网 络 和 用 户 之 间 的 双向 认证 ; 3G 系统 增加 了 数据 完整 性 
这 一 安全 特性 ,以 防止 算 改 信息 这 样 的 主动 攻击 ; 在 认证 令 牌 AUTN 中 包括 了 序列 号 
SQN ,保证 认证 过 程 的 最 新 性 ,防止 重新 攻击 ,并且 SQN 的 有 效 范围 受到 限制 。 

2) 身份 保密 

3G 系统 中 的 用 户 身 份 保密 有 三 个 方面 的 含义 : 在 无 线 链 路 上 窃听 用 户 身份 IMSI 是 不 
可 能 的 ; 确保 不 能 够 通过 窃听 无 线 链 路 来 获取 当前 用 户 的 位 置 ; 窃听 者 不 能 够 在 无 线 链 路 
上 获知 用 户 正 在 使 用 的 不 同 的 业务 。 为 了 达到 上 述 要 求 ,3G 系统 使 用 了 两 种 机 制 来 识别 用 
户 身份 : 使 用 临时 身份 TMSI 和 使 用 加 密 的 永久 身份 IMSI。 而 且 要 求 在 通信 中 不 能 长 期 
使 用 同一 个 身份 。 另 外 ,为 了 达到 这 些 要 求 ,那些 可 能 会 泄露 用 户 身份 的 信 令 信息 以 及 用 户 
数据 也 应 该 在 接 人 链 路 上 进行 加 密 传 送 。 在 3G 中 为 了 保持 与 第 二 代 系 统 兼容 .也 允许 使 
用 非 加 密 的 IMSI, 尽 管 这 种 方法 是 不 安全 的 。 

在 使 用 临时 身份 机 制 中 ,网 络 给 每 个 移动 用 户 分 配 了 一 个 临时 身份 TMSI。 该 临时 身 
份 与 IMUI 由 网 络 临时 相关 联 , 用 于 当 移 动用 户 发 出 位 置 更 新 请 求 、 服 务 请 求 、 脱 离 网 络 请 
求 , 或 连接 再 建立 请 求 时 ,在 无 线 链 路 上 识别 用 户 身份 。 当 系统 不 能 通过 TMUI 识别 用 户 
身份 时 ,3G 系统 可 以 使 用 IMSI 来 识别 用 户 。 

3) 数据 保密 

在 3G 系统 中 ,网 络 接 入 部 分 的 数据 保密 主要 提供 4 个 安全 特性 : 加 密 算法 协商 .加 密 
密 钥 协商 、 用 户 数据 加 密 和 信 令 数据 加 密 。 其 中 加 密 密 钥 协 商 在 AKA 中 完成 。 加 密 算法 
协商 由 用 户 与 服务 网 间 的 安全 模式 协商 机 制 完 成 。 在 无 线 接 入 链 路 上 仍然 采用 分 组 密码 流 
对 原始 数据 加 密 , 采 用 了 f8 算法 。 
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4) 数据 完整 
在 移动 通信 中 ,MS 和 网 络 间 的 大 多 数 信 令 信息 是 非常 敏感 的 ,需要 得 到 完整 性 保护 。 
在 3G 中 采用 了 消息 认证 来 保护 用 户 和 网 络 间 的 信 令 消息 没有 被 自 改 。 


3. 3G 安全 缺陷 


3G 与 以 往 的 移动 通信 系统 相 比 ,在 安全 性 方面 有 了 很 大 的 提高 ,但 是 3G 仍然 存在 一 
些 安全 缺陷 ,表现 在 以 下 几 个 方面 : 未 保护 到 的 信 令 数据 ,拒绝 服务 攻击 ,未 提供 用 户 数据 
完整 性 保护 ,Iu 和 Iur 接口 上 传输 的 数据 缺乏 保护 措施 。 

未 来 3G 系统 的 安全 将 可 以 从 以 下 几 个 方面 加 以 发 展 和 完善 : 建立 适合 未 来 移动 通信 
系统 的 安全 体系 结构 模型 ,由 私 钥 密码 体制 向 混合 密码 体制 的 转变 ,安全 体系 向 透明 化 发 
展 ,新 密码 技术 的 广泛 应 用 。 移 动 通信 网 络 的 安全 措施 更 加 体现 面向 用 户 的 理念 。 


9.5.4 4G 移动 通信 概述 
1. 4G 移动 通信 定义 


4G 是 第 四 代 移 动 通信 及 其 技术 的 简称 ,是 集 3G 与 WLAN 于 一 体 并 能 够 传输 高 质量 
视频 图 像 且 图 像 传 输 质量 与 高 清晰 度 电 视 不 相 上 下 的 技术 产品 。4G 系统 能 够 以 100Mbps 
的 速度 下 载 , 比 拨号 上 网 快 2000 倍 , 上 传 的 速度 也 能 达到 20Mbps, 并 能 够 满足 几乎 所 有 用 
户 对 于 无 线 服务 的 要 求 。 此 外 ,4G 可 以 在 DSL 和 有 线 电视 调制 解 调 器 没有 获 盖 的 地 方 部 署 ， 
然后 再 扩展 到 整个 地 区 。4G 有 望 集成 不 同 模式 的 无 线 通 信 一 一 从 无 线 局 域 网 和 蓝牙 等 室内 
网 络 .蜂窝 信号 广播 电视 到 卫星 通信 ,移动 用 户 可 以 自由 地 从 一 个 标准 漫游 到 另 一 个 标准 。 


2. 4G 系统 网 络 结构 及 其 关键 技术 


如 图 9-8 所 示 ,作为 一 个 多 种 无 线 网 络 共存 的 通信 系统 ,4G 系统 包括 移动 终端 ,无线 接 
入 网、 无 线 核心 网 和 IP 骨干 网 Internet 这 4 个 部 分 。 


核心 网 


IP 骨 干 网 


1 
1 
1 
4 /Internet 
4 


Gateway 


图 9-8 4G 系统 结构 划分 
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4G 移动 系统 网 络 结构 可 分 为 三 层 : 物理 网 络 层 、 中 间 环 境 层 和 应 用 网 络 层 。 物 理 网 络 
层 提供 接 入 和 路 由 选择 功能 ,它们 由 无 线 和 核心 网 的 结合 格式 完成 。 中 间 环 境 层 的 功能 有 
QoS 映射 ,地址 变换 和 完全 性 管理 等 。 物 理 网 络 层 与 中 间 环 境 层 及 其 应 用 环境 之 间 的 接口 
是 开放 的 , 它 使 发 展 和 提供 新 的 应 用 及 服务 变 得 更 为 容易 ,提供 无 缝 高 数据 率 的 无 线 服 务 ， 
并 运行 于 多 个 频带 。 这 一 服务 能 自 适应 多 个 无 线 标准 及 多 模 终端 能 力 ,跨越 多 个 运营 者 和 
服务 ,提供 大 范围 服务 。 

第 四 代 移 动 通信 系统 的 关键 技术 包括 信道 传输 ; 抗 干扰 性 强 的 高 速 接 入 技术 、 调 制 和 
信息 传输 技术 ; 高 性 能 、 小 型 化 和 低 成 本 的 自 适应 阵列 智能 天 线 ; 大 容量 、 低 成 本 的 无 线 接 
口 和 光 接 口 ; 系统 管理 资源 ; 软件 无 线 电 、 网 络 结构 协议 等 。 第 四 代 移 动 通信 系统 主要 是 
以 正 交 频 分 复 用 (OFDMD) 为 技术 核心 。OFDM 技术 的 特点 是 网 络 结构 高 度 可 扩展 ,具有 良 
好 的 抗 噪声 性 能 和 抗 多 信道 干扰 能 力 ,可 以 提供 无 线 数据 技术 质量 更 高 (速率 高 .时 延 小 ) 的 
服务 和 更 好 的 性 能 价格 比 ,能 为 4G 无 线 网 提供 更 好 的 方案 。 例 如 无 线 区 域 环 路 (WLL) 、 数 
字音 讯 广 播 (DAB) 等 ,预计 都 采用 OFDM 技术 。4G 移动 通信 对 加 速 增长 的 宽带 无 线 连 接 
的 要 求 提供 技术 上 的 回应 ,对 跨越 公众 的 和 专用 的 、 室 内 和 室外 的 多 种 无 线 系统 和 网 络 保证 
提供 无 缝 的 服务 。 通 过 对 最 适合 的 可 用 网 络 提 供用 户 所 需求 的 最 佳 服务 ,能 应 付 基 于 因 特 
网 通信 所 期 望 的 增长 ,增添 新 的 频段 ,使 频谱 资源 更 好 地 扩展 ,提供 不 同类 型 的 通信 接口 , 运 
用 路 由 技术 为 主 的 网 络 架 构 , 以 傅立叶 变换 来 发 展 硬件 架构 实现 第 四 代 网 络 架构 。 移 动 通 
信 会 向 数据 化 ,高 速 化 .宽带 化 ,频段 更 高 化 方向 发 展 ,移动 数据 ,移动 IP 预计 会 成 为 未 来 移 
动 网 的 主流 业务 。 


3. 4G 标准 


LTE-Advanced 就 是 LTE 技术 的 升级 版 , 它 的 正式 名 称 为 Further Advancements for 
E-UTRA, 满 足 ITU-R 的 IMT-Advanced 技术 征集 的 需求 ,是 3GPP 形成 欧洲 IMT-Advanced 
技术 提案 的 一 个 重要 来 源 。LTE-Advanced 是 一 个 后 向 兼容 的 技术 ,是 完全 兼容 LTE 的 
演进 。 如 果 严 格 地 讲 ,LTE 作为 3. 9G 移动 互联 网 技术 ,那么 LTE-Advanced 作为 4G 标准 
更 加 确切 一 些 。LTE-Advanced 的 入围 包含 TDD 和 FDD 两 种 制式 ,其 中 TD-SCDMA 能 
够 进化 到 TDD 制式 ,而 WCDMA 网 络 能 够 进化 到 FDD 制式 。 移 动 主导 的 TD-SCDMA 网 
络 期 望 能 够 绕 过 HSPA 十 网 络 而 直接 进入 到 LTE。 

WiMax (Worldwide Interoperability for Microwave Access, 全 球 微波 互联 接 人 ) 的 另 
一 个 名 字 是 IEEE 802. 16。WiMax 的 技术 起 点 较 高 ,所 能 提供 的 最 高 接 入 速度 是 70M ,这 
个 速度 是 3G 所 能 提供 的 宽带 速度 的 30 倍 。WiMax 逐步 实现 宽带 业务 的 移动 化 ,而 3G 则 
实现 移动 业务 的 宽带 化 ,两 种 网 络 的 融合 程度 会 越 来 越 高 ,这 也 是 未 来 移动 网 络 和 固定 网 络 
的 融合 趋势 。 

802. 16 工作 的 频段 采用 的 是 无 须 授 权 频段 ,范围 在 2 一 66GHz 之 间 , 而 802. 16a 则 是 
一 种 采用 2 一 11GHz 无 须 授权 频段 的 宽带 无 线 接 入 系统 ,其 频道 带宽 可 根据 需求 在 1. 5 一 
20MHz 范围 内 进行 调整 ,更 好 高 速 移动 无 缝 切换 IEEE 802. 16m 技术 正在 研发 。 因 此 ， 
802. 16 所 使 用 的 频谱 可 能 比 其 他 任何 无 线 技术 更 丰富 。WiMax 具有 以 下 优点 : 对 于 已 知 
的 干扰 , 窄 的 信道 带宽 有 利于 避 开 干扰 ,而 且 有 利于 节省 频谱 资源 ; 灵活 的 带宽 调整 能 力 ， 
有 利于 运营 商 或 用 户 协调 频谱 资源 ; WiMax 所 能 实现 的 50km 的 无 线 信号 传输 距离 是 无 线 
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局 域 网 所 不 能 比拟 的 ,网 络 覆 盖 面 积 是 3G 发 射 塔 的 10 倍 , 只 要 少数 基站 建设 就 能 实现 全 
城 覆 盖 ,能 够 使 无 线 网 络 的 覆盖 面积 大 大 提升 。 

虽然 WiMax 网 络 在 网 络 覆盖 面积 和 网 络 的 带宽 上 优势 巨大 ,但 是 其 移动 性 却 有 着 先 
天 的 缺陷 ,无 法 满足 高 速 ( 达 50km/h) 下 网 络 的 无 颖 链接 。 从 这 个 意义 上 讲 , WiMax 还 无 法 
达到 3G 网 络 的 水 平 ,严格 地 说 并 不 能 算 作 移动 通信 技术 ,而 仅仅 是 无 线 局 域 网 的 技术 。 但 
是 WiMax 的 希望 在 于 IEEE 802. 11m 技术 上 ,将 能 够 有 效 地 解决 这 些 问 题 。 也 正 是 因为 有 
中 国 移动 .英特尔 .Sprint 各 大 厂商 的 积极 参与 ,WiMax 成 为 呼声 仅 次 于 LTE 的 4G 网 络 手 
机 。 

WirelessMAN-Advanced 是 WiMax 的 升级 版 , 即 IEEE 802. 16m 标准 。802. 16 系列 
标准 在 IEEE 中 正式 称 为 WirelessMAN。 其 中 ,802. 16m 最 高 可 以 提供 1Gbps 无 线 传输 速 
率 , 还 将 兼容 未 来 的 4G 无 线 网 络 。802. 16m 可 在 “漫游 ”模式 或 高 效率 / 强 信号 模式 下 提供 
1Gbps 的 下 行 速率 。 该 标准 还 支持 “高 移动 "模式, 能够 提供 1Gbps 速率 。 其 优势 如 下 : 提 
高 网 络 覆 盖 ,改建 链 路 预算 ， 提高 频谱 效率 ; 提高 数据 和 VoIP 容量 ; 低 时 延 &QoS 增强 ; 
功 耗 节省 。WirelessMAN-Advanced 有 5 种 网 络 数据 规格 ,其 中 极 低 速率 为 16kbps, 低 速 
率 数据 及 低速 多 媒体 为 144kbps, 中 速 多 媒体 为 2Mbps, 高 速 多 媒体 为 30Mbps, 超 高 速 多 媒 
体 则 达到 了 30Mbps 一 1Gbps。 但 是 该 标准 可 能 会 率先 被 军 方 所 采用 ,IEEE 方面 表示 军 
方 的 介入 能 够 促使 WirelessMAN-Advanced 更 快 地 成 熟 和 完善 ,而 且 军 方 的 今天 就 是 民 
用 的 明天 。 不 论 怎样 ,WirelessMAN-Advanced 得 到 ITU 的 认可 并 成 为 4G 标准 的 可 能 性 
极 大 。 


9.5.5 4G 移动 通信 安全 


学 者 郑 宇 在 其 博士 论文 (2006) 中 对 4G 无 线 网 络 安全 若干 关键 技术 进行 了 研究 。 下 面 
从 4G 安全 威胁 和 4G 安全 框架 进行 介绍 。 


1. 4G 安全 威胁 


作为 一 个 多 种 无 线 网 络 共存 的 通信 系统 ,4G 面临 的 安全 威胁 来 自 4 个 方面 ,包括 移动 
终端 .无线 接 人 网 无 线 核心 网 和 IP 骨干 网 。 

移动 终端 在 4G 系统 中 面临 的 安全 威胁 : 移动 终端 硬件 平台 面临 的 安全 威胁 ,操作 
系统 安全 威胁 ,无 线 网 络 面临 的 安全 威胁 ,移动 性 管理 ,网 络 结构 和 QoS, 安 全 性 和 容 
错 性 。 

无 线 业务 面临 的 威胁 : 现 有 的 安全 机 制 难以 满足 高 安全 级 别 的 需求 ,以 及 多 运营 商 和 
多 计 费 系统 安全 威胁 。 


2. 4G 安全 策略 


在 设计 其 安全 方案 时 应 同时 考虑 安全 性 效率 .兼容 性 .可 扩展 性 和 用 户 的 可 移动 性 
5 大 因素 。 针 对 以 上 5 大 因素 ,在 制定 4G 无 线 网 络 安全 方案 时 应 综合 采用 以 下 策略 ,如 
图 9-9 所 示 。 
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[无 绕 网 络 安全 方案 制定 策略 
安全 策略 效率 策略 其 他 策略 
安全 技术 | 。 [安全 管理 | 是 背 || 天 和 g||， 
E | 消 | 守 安 
记 卫 | 对 | 总 | 总 | 如 | 小 || 谢 上当 || 地 | 各 || 全 | 条 
完 ][ 直 ]| 称 | 数目 癌 || 和 || 抽 || 时 | 全 | 并 上 | 术 || 卫 || 略 
比 || 簿 || 星 || 目 || 获 || 预 || 诠 || 身 || 芭 || 痢 || 答 || 由 | 机 
认 | 鬼 上 如 上 起 上 | 竹 上 可 | 格 | 和 民办 四 于 有 从 | 和 轩辕 有机 | 向 
| 和 | | 长 || 议 害 上 法 | 让 || | 和 和 


9-9 4G 网 络 安全 方案 的 制定 策略 


3. 4G 系统 的 安全 体系 


如 图 9-10 所 示 ,4G 安全 体系 包含 5 种 安全 特性 以 满足 相应 的 安全 需求 。 与 3G 安全 体 
系 相 比 ,该 安全 体系 具有 以 下 特性 : 

(1) 通过 在 ME 中 植 和 人 TPM, 从 而 在 安全 体系 中 引入 可 信和 移动 平台 的 思想 。 将 用 
户 `\USIM 和 ME/TPM 视 为 三 个 独立 的 实体 ,利用 可 信 计 算 的 安全 特性 来 提高 用 户 域 的 
ES 

(2) 综合 考虑 了 对 无 线 和 有 线 链 路 的 保护 ,提高 了 有 线 链 路 的 安全 性 。 

(3) 通过 在 网 络 域 中 各 个 实体 间 建 立 认 证 机 制 ,如 用 户 、 接 入 网 和 归属 网 络 之 间 的 相互 
认证 ,以 及 AN.SP 和 HE 间 的 相互 认证 ,从 而 提高 网 络 域 的 安全 级 别 。 


用 户 应 用 D 网 络 提供 应 用 应 用 层 
! = 
i 服务 | | 站 属 | 服务 层 
Cl lIA Al Tc | | 提供 商 网 络 
| SP HE 
ME/TPM |- 人 | 接 入 网 AN 传输 层 
- | | 


图 9-10 4G 无 线 网 络 的 安全 体系 


6.6 无 线 接 入 安全 技术 


本 节 将 介绍 无 线 局 域 网 的 安全 问题 ,对 策 ,WAP 安全 机 制 ,APA 安全 机 制 ,IEEE 802. 16d 
的 安全 机 制 和 IEEE 802. 1X EAP 认证 机 制 。 
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9.6.1 无 线 局 域 网 安全 协议 概述 
1. 无 线 网 络 安全 问题 与 对 策 


1) 安全 问题 

无 线 网 络 已 成 为 当今 黑客 最 感 兴趣 的 目标 之 一 ,有 些 黑客 已 经 将 其 作为 攻击 网 络 的 绝 
好 机 会 ,因为 与 有 线 网 络 不 同 , 无 线 网 络 是 在 空中 传输 数据 的 ,而 且 通 常 传输 范围 大 于 机 构 
的 物理 边界 。 尤 其 值得 注意 的 是 ,如 果 使 用 了 功能 强大 的 定向 天 线 ,WLAN 可 以 方便 地 扩 
展 到 设计 规定 的 大 厦 以 外 。 这 种 情况 使 传统 物理 安全 控制 措施 失去 效力 ,因为 无 线 频率 范 
围 内 的 所 有 人 都 能 看 到 传输 的 内 容 。 例 如 , 某 人 只 需 拥 有 Linux 掌上 计算 机 和 TCPDUMP 
等 程序 ,就 可 以 接收 和 保存 某 个 WLAN 上 传输 的 所 有 数据 。 

(1) 干扰 无 线 通信 也 很 容易 。 简 单 的 干扰 发 送 器 就 能 使 通信 瘫痪 。 例 如 ,不 断 对 AP 
提出 接 人 请 求 ,无 论 成 功 与 否 , 最 终 都 会 耗 尽 其 可 用 的 无 线 频 谱 , 将 它 “ 踢 出 网络。 相同 频 
率 范围 以 内 的 其 他 无 线 服 务 可 以 降低 WLAN 技术 的 范围 和 可 用 带宽 。 用 于 在 手机 和 其 他 
信息 设备 之 间 通 信 的 “蓝牙 "技术 是 当今 与 WLAN 设备 使 用 相同 无 线 频率 的 诸多 技术 之 
一 。 这 些 有 意 或 无 意 的 拒绝 服务 攻击 都 可 以 严重 干扰 WLAN 设备 的 操作 。 

(2) 多 数 WLAN 设备 都 使 用 直接 排序 扩展 频谱 (DSSS) 通 信 。 由 于 多 数 WLAN 设备 
都 基于 标准 ,因此 必须 假设 攻击 者 拥有 可 以 调整 到 相同 传播 顺序 的 WLAN 卡 , 这 样 看 来 ， 
DSSS 技术 本 身 既 不 保密 也 没有 认证 功能 。 

(3) WLAN 接 入 点 可 以 识别 按照 刻录 或 打印 在 卡 上 的 唯一 MAC 地 址 制造 的 每 块 无 线 
卡 。 在 使 用 无 线 服务 之 前 , 某 些 WLAN 要 求 对 卡 进行 登记 ,然后 接 入 点 将 按照 用 户 识别 
卡 。 但 这 种 情况 比较 复杂 ,因为 每 个 接 入 点 都 需要 访问 这 个 表 。 即 使 实施 了 这 个 方案 ,也 不 
能 防止 黑客 侵入 ,因为 黑客 可 以 使 用 借助 固件 下 载 的 WLAN 卡 ,这 些 WLAN 卡 不 适用 于 
内 部 MAC 地 址 ,而 使 用 随机 选择 或 特意 假冒 的 地 址 。 借 助 这 种 假冒 的 地 址 ,黑客 可 以 注入 
网 络 流量 ,或 者 欺骗 合法 用 户 。 

(4) 最 大 的 危险 是 AP 被 安装 到 网 络 中 。 黑 客 进入 大 楼 后 ,由 于 AP 相对 较 小 ,黑客 可 
以 隐秘 安装 。 例 如 ,只 要 将 AP 安装 在 会 议 桌 下 面 ,或 者 插入 到 网 络 中 ,黑客 就 可 以 从 相对 
安全 的 地 方 侵入 网 络 , 例 如 位 于 停车 场 的 汽车 内 。 另 外 ,还 存在 遭受 中 间 人 (MITM) 攻 击 的 
可 能 性 。 借 助 可 以 假冒 成 可 信 AP 的 设备 ,黑客 可 以 像 在 自己 设备 上 一 样 操作 无 线 帧 。 

2) 对 策 

要 消除 这 种 危险 ,企业 可 以 使 用 政策 和 防范 步骤 。 

(1) 从 政策 角度 看 ,思科 建议 企业 在 整体 安全 政策 的 基础 上 制定 完整 的 无 线 网 络 政策 。 
这 种 无 线 政策 至 少 应 禁止 IT 不 支持 的 AP 连接 到 网 络 中 。 从 步骤 角度 看 ,IT 部 门 应 该 定 
期 检查 办 公 区 ,看 有 没有 欺诈 性 AP。 这 种 检查 包括 物理 搜索 和 无 线 扫 描 。 几 家 厂商 提供 
的 工具 都 可 以 检查 某 个 区 域 是 否 存在 无 线 AP。 

(2) 从 实施 角度 看 ,以 太 网 交换 机 都 能 按照 连接 客户 端的 MAC 地 址 限制 对 某 些 端 口 
的 访问 。 这 些 控制 可 以 识别 与 端口 相连 的 第 一 个 MAC 地 址 ,然后 防止 后 续 MAC 地 址 连 
接 。 通 过 控制 ,还 可 以 防止 规定 数量 以 上 的 MAC 地 址 连接 。 这 些 特性 都 可 以 解决 欺诈 AP 
问题 ,但 都 会 增加 管理 负担 。 在 大 企业 中 管理 MAC 地 址 表 本 身 就 可 能 成 为 全 职工 作 。 还 


299 


YY 


物 联 网 安全 教程 


需要 注意 的 是 ,在 会 议 室 里 ,很 难 知道 哪些 系统 将 与 某 个 网 络 端口 相连 。 由 于 会 议 室 是 黑客 
安装 欺诈 AP 的 目标 ,因此 可 以 禁止 从 所 有 会 议 室 进行 有 线 网 络 接 入 。 总 之 ,从 会 议 室 提供 
对 网 络 的 无 线 接 入 是 当今 企业 选择 部 署 无 线 LAN 技术 的 主要 原因 之 一 。 


2. IEEE 802. 11b 不 安全 性 及 对 策 


802. 11b 是 当今 部 署 最 广泛 的 WLAN 技术 。 遗 憾 的 是 ,802. 11b 的 安全 基础 是 称 为 有 
线 等 价 专用 性 (WEP) 的 帧 加 密 协 议 。802. 11 标准 将 WEP 定义 为 保护 WLAN 接 入 点 与 网 
络 接口 卡 (NIC) 间 空中 传输 的 简单 机 制 。WEP 在 数据 链 路 层 操作 ,要 求 所 有 通信 各 方 都 共 
享 相 同 的 密 钥 。 为 避免 与 标准 开发 时 生效 的 美国 出 口 控制 法 发 生 冲突 ,IEEE 802. 11b 需要 
40 位 加 密 密 钥 ,但 目前 的 许多 厂商 都 支持 可 选 的 128 位 标准 。 借 助 互 联网 上 提供 的 现成 工 
具 ,WEP 可 以 方便 地 创建 40 位 和 128 位 变形 。 在 繁忙 的 网 络 上 ,只 需 15s 就 能 获得 128 位 
静态 WEP 密 钥 。 

思科 建议 用 以 下 三 种 技术 取代 IEEE 802. 11 规定 的 WEP, 包 括 基 于 IP Securtiy 
(IPSec) 的 网 络 层 加 密 方法 ,使 用 802. 1X、 基 于 人 工 认 证 的 密 钥 分 发 方法 ,以 及 思科 最 近 对 
WEP 所 做 的 某 些 专门 改进 。 另 外 ,IEEE 802. 11 任务 组 "i” 也 正在 改进 WLAN 加 密 标准 。 

1) 基于 IP Securtiy(IPSec) 的 网 络 层 加 密 方法 

IPSec 是 一 种 开放 标准 框架 ,可 以 保证 通过 IP 网 络 实现 安全 私密 通信 。IPSec VPN 使 
用 IPSec 内 定义 的 服务 ,以 保证 互联 网 等 公共 网 上 数据 通信 的 保密 性 、 完 整 性 和 认证 。 
IPSec 还 拥有 实用 应 用 ,它们 将 IPSec 放置 在 纯 文 本 802. 11 无 线 流量 的 上 面 ,以 便 保护 
WLAN, 

在 WLAN 环境 中 部 署 IPSec 时 ,IPSec 放置 在 与 无 线 网 络 连接 的 每 台 PC 上 ,用 户 则 需 
要 建立 IPSec 通道 ,以 便 将 流量 传送 到 有 线 网 。 过 滤器 用 于 防止 无 线 流量 到 达 VPN 网 关 和 
DHCP/DNS 服务 器 以 外 的 目的 地 。IPSec 用 于 实现 IP 流量 的 保密 性 .认证 和 防 重播 功能 。 
保密 性 通过 加 密实 现 , 加 密使 用 数据 加 密 标 准 (DES) 的 变种 ( 称 为 三 DESC3DES)), 即 用 三 
个 密 钥 对 数据 进行 三 次 加 密 。 

虽然 IPSec 主要 用 于 实现 数据 保密 性 ,但 标准 的 扩展 也 可 以 用 于 用 户 认证 和 授权 ,并 作 
为 IPSec 过 程 的 一 部 分 。 

2) 使 用 EAP/802. 1X 基于 人 工 认 证 的 密 钥 分 发 方法 

另 一 种 WLAN 安全 方法 注重 为 提供 集中 认证 和 动态 密 钥 分 发 而 开发 框架 。 在 思科 、 
微软 及 其 他 机 构 向 IEEE 共同 提交 的 建议 中 ,提出 了 使 用 802. 1X 和 可 扩展 认证 协议 (EAP) 
的 端 到 端 框架 ,以 便 提供 这 种 增强 的 功能 。 这 个 建议 的 两 个 主要 组 件 是 : 

(1) EAP。 人 允许 使 用 无 线 客户 端 适配器 ,可 以 支持 不 同 的 认证 类 型 ,因而 能 与 不 同 的 后 
端 服务 器 通信 ,如 远程 接 人 拨 入 用 户 服务 (RADIUS) 。 

(2) IEEE 802. 1X。 基 于 端口 的 网 络 访问 控制 的 标准 。 

如 果实 施 了 这 些 特 性 ,与 AP 相关 的 无 线 客户 端 将 不 能 接 入 网 络 , 直 到 用 户 执 行 网 络 登 
录 为 止 。 当 用 户 在 网 络 登录 对 话 框 中 输入 用 户 名 和 密码 或 者 等 价 信息 时 ,客户 端 和 
RADIUS 服务 器 将 执行 相互 认证 ,其 中 客户 端 用 提供 的 用 户 名 和 密码 认证 。 然 后 ， 
RADIUS 服务 器 和 客户 端 将 获得 一 个 客户 端 专用 WEP 密 钥 , 供 客户 端 在 当前 登录 操作 中 
使 用 。 用 户 密码 和 操作 密 钥 永远 不 会 以 原始 形式 在 无 线 链 路 上 传输 。 
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该 方法 步骤 如 下 : 

(1) 无 线 客户 端 与 接 人 点 联络 。 

(2) 接 入 点 禁止 客户 端 以 任何 方式 访问 网 络 资源 ,除非 客户 端 登录 到 网 络 上 。 

(3) 客户 端 上 的 用 户 在 网 络 登录 框 中 输入 用 户 名 和 密码 ,或 者 用 户 名 和 密码 的 等 价 物 。 

(4) 借助 802. 1X 和 EAP, 无 线 客户 端 和 有 线 LAN 上 的 RADIUS 服务 器 通过 接 入 点 
相互 认证 。 用 户 可 以 从 集中 认证 方法 或 类 型 中 选择 一 种 使 用 。 如 果 使 用 Cisco 认证 类 型 
LEAP,RADIUS 服务 器 将 向 客户 端 发 送 认 证 问题 。 客 户 端 利 用 用 户 提供 的 密码 的 单 向 散 
列 形 成 问题 的 答案 ,并 将 答案 发 送 到 RADIUS 服务 器 。 借 助 用 户 数据 库 中 的 信息 ， 
RADIUS 服务 器 将 形成 自己 的 答案 ,并 与 客户 端 提 供 的 答案 相 比 较 。 如 果 RADIUS 服务 器 
对 客户 端 表示 认可 ,将 执行 反 向 过 程 , 即 让 客户 端 对 RADIUS 服务 器 进行 认证 。 

(5) 当 相 互 间 的 认证 都 成 功 完成 之 后 ,RADIUS 服务 器 和 客户 端 将 为 客户 端 提供 唯一 
的 WEP 密 钥 。 客 户 端 将 保留 这 个 密 钥 ,并 在 登录 操作 中 使 用 。 

(6) RADIUS 服务 器 通过 有 线 LAN 将 WEP 密 钥 ( 称 为 操作 密 钥 ) 发 送 到 接 入 点 。 

(7) 接 入 点 用 操作 密 钥 对 其 广播 密 钥 进行 加 密 ,然后 将 密 钥 发 送 给 客户 端 ,让 客户 端 使 
用 操作 密 钥 进行 加 密 。 

(8) 客户 端 和 接 人 点 激活 WEP, 并 在 其 余 操 作 过 程 中 为 所 有 通信 使 用 操作 和 广播 
WEP 密 钥 。 

(9) 操作 密 钥 和 广播 密 钥 都 应 按照 RADIUS 服务 器 的 配置 定期 修改 。 

LEAP 认证 过 程 如 下 : 

@ 客户 端 与 接 人 点 联络 。 

@ 接 入 点 禁止 所 有 用 户 访问 LAN 用 户 机 器 ( 带 客户 端 适配器 ) 。 

@ 用 户 执 行 网 络 登录 (用 户 名 和 密码 ) 。 

@ RADIUS 服务 器 和 客户 端 执行 相互 认证 并 获取 WEP 密 钥 。 

@ 客户 端 适配器 和 接 人 点 激活 WEP 并 使 用 密 钥 进行 传输 。 

@ RADIUS 服务 器 向 接 和 人 点 提供 密 钥 。 

与 WEP 相 比 ,LEAP 具有 两 个 优点 。 第 一 个 优点 是 上 面 介绍 的 相互 认证 方案 。 这 种 
方案 能 有 效 地 消除 假冒 接 入 点 和 RADIUS 服务 器 发 起 的 “中 间 人 攻击 ”。 第 二 个 优点 是 集 
中 管理 和 分 发 WEP 使 用 的 密 钥 。 即 使 RC4 实施 的 WEP 没有 缺陷 ,在 将 静态 密 钥 分 发 到 
网 络 中 的 所 有 AP 和 客户 端 时 也 会 有 管理 困难 。 每 次 无 线 设备 丢失 时 ,网 络 都 必须 重新 获 
得 密 钥 ,以 防 非法 用 户 访问 丢失 的 系统 。 

3) 改进 WEP 

(1) WEP 密 钥 散 列 。 在 对 WEP 发 起 攻击 时 ,必须 利用 使 用 相同 密 钥 的 加 密 流 量 流 中 
的 多 个 薄弱 检 ,因此 ,为 每 个 包 使 用 不 同 的 密 钥 应 该 能 消除 这 种 威胁 。K 和 WEP 密 钥 进行 
散 列 ,以便 产生 唯一 的 包 密 钥 ( 称 为 临时 密 钥 ) ,然后 与 了 组 合 在 一 起 ,或 者 与 纯 文 本 执行 
XOR 操作 。 这 种 方法 能 防止 黑客 利用 薄弱 全 获取 基础 WEP 密 钥 ,因为 薄弱 人 只 允许 获取 
每 个 包 的 WEP 密 钥 。 为 防止 因 玉 冲突 而 遭受 攻击 ,应 该 在 了 重复 之 前 修改 基础 密 钥 。 由 
于 繁忙 网 络 上 的 全 可 以 每 几 小 时 重复 一 次 ,因此 LEAP 等 机 制 应 该 用 于 执行 密码 重 定 
操作 。 

(2) 消息 完整 性 检查 。WEP 的 另 一 个 问题 是 易于 遭受 重播 攻击 。 消 息 完整 性 检查 


物 联 网 安全 教程 


(MIC) 能 防止 WEP 帧 被 损害 。MIC 基于 种 子 值 、 源 MAC 和 负载 (换言之 ,对 这 些 元 素 的 
任何 修改 都 会 影响 MIC 值 ) 。MIC 包含 在 WEP 加 密 的 负载 中 。MIC 使 用 散 列 算法 获取 最 
终 值 。 这 是 对 基于 标准 WEP 执行 的 循环 宛 余 检查 CRC-32, 查 总 功能 的 改进 。 借 助 CRC- 
32, 可 以 根据 传输 的 消息 的 位 差异 计算 两 个 CRC 之 间 的 位 差异 。 换 言 之 , 反 转 消息 中 的 位 
nn 后 ,将 在 CRC 中 产生 确定 的 位 集 ,这 个 位 集 只 有 反 转 才能 在 修改 的 信息 上 产生 正确 的 查 
总 。 由 于 反 转 位 能 坚持 到 RC4 加 密 之 后 ,因此 黑客 可 以 反 转 加 密 信息 中 的 任意 位 ,并 正确 
地 调整 查 总 ,使 最 终 消息 看 起 来 有 效 。 


9.6.2 WAPI 安全 机 制 
1. WAPI 概述 


WAPICWireless LAN Authentication and Privacy Infrastructure ,无线 局 域 网 鉴别 和 保 
密 基 础 结构 ) 是 一 种 安全 协议 ,同时 也 是 中 国 无 线 局 域 网 安全 强制 性 标准 。 在 中 国 无 线 局 域 
网 国家 标准 GB 15629. 11 中 提出 的 WLAN 安全 解决 方案 已 由 ISO/IEC 授权 的 机 构 IEEE 
Registration Authority(IEEE 注册 权威 机 构 ) 审 查 并 获得 认可 ,分 配 了 用 于 WAPI 协议 的 以 
太 类 型 字段 ,这 也 是 中 国 目 前 在 该 领域 唯一 获得 批准 的 协议 。 

WAPI 像 红 外 线 、 蓝 牙 .GPRS 和 CDMAIX 等 协议 一 样 ,是 无 线 传输 协议 的 一 种 ,只 不 
过 跟 它们 不 同 的 是 , 它 是 无 线 局 域 网 中 的 一 种 传输 协议 而 已 , 它 与 现行 的 802. 11i 传输 协议 
比较 相近 。 

WAPI 安全 系统 采用 公 钥 密码 技术 , 鉴 权 服务 器 AS 负责 证 书 的 颁发 .验证 与 吊销 等 ， 
无 线 客 户 端 与 无 线 接 人 点 (AP) 上 都 安装 了 AS 颁发 的 公 钥 证 书 , 作 为 自己 的 数字 身份 凭 
证 。 当 无 线 客户 端 登 录 至 无 线 接 入 点 时 ,在 访问 网 络 之 前 必须 通过 鉴别 服务 器 对 双方 进行 
身份 验证 。 根 据 验证 的 结果 , 持 有 合法 证 书 的 移动 终端 才能 接 人 持 有 合法 证 书 的 无 线 接 
和 点 。 

无 线 局 域 网 鉴别 与 保密 基础 结构 (WAPD 系统 中 包含 以 下 部 分 : WAI 鉴别 及 密 钥 管理 
和 WPI 数据 传输 保护 。 

无 线 局 域 网 保密 基础 结构 (WPI) 对 MAC 子 层 的 MPDU 进行 加 密 、 解 密 处 理 , 分 别 用 
于 WLAN 设备 的 数字 证 书 、 密 钥 协 商 和 传输 数据 的 加 解密 ,从 而 实现 设备 的 身份 鉴别 、 链 
路 验证 ,访问 控制 和 用 户 信息 在 无 线 传输 状态 下 的 加 密 保护 。 

WAPI 无 线 局 域 网 鉴别 基础 结构 (WAD 不 仅 具 有 更 加 安全 的 鉴别 机 制 、 更 加 灵活 的 密 
钥 管理 技术 ,而 且 实 现 了 整个 基础 网 络 的 集中 用 户 管理 ,从 而 满足 更 多 用 户 和 更 复杂 的 安全 
性 要 求 。 


2. 传输 协议 


无 线 局 域 网 (WLAN) 的 传输 协议 有 很 多 种 ,包括 802. 11a、802. 11b、802. 11g 和 802. 1ln 
等 ,其 中 以 802. 11n 最 为 普及 和 流行 。 目 前 包括 迅驰 和 联想 最 新 的 关联 计算 机 在 内 的 大 多 
数 无 线 网 络 产 品 所 采用 的 都 是 802. 11B 的 传输 协议 , 它 是 由 美国 非 赢利 机 构 WIFI 组 织 制 
定 和 进行 认证 的 ,而 WAPI 则 由 ISO/IEC 授权 的 IEEE Registration Authority 审查 获得 认 
可 ,两 者 所 属 的 机 构 不 同 ,其 性 质 自然 不 一 样 。 其 最 大 的 区 别 是 安全 加 密 的 技术 不 同 : 
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WAPI 使 用 的 是 一 种 名 为 “无 线 局 域 网 鉴别 与 保密 基础 架构 ”的 安全 协议 ,而 802. 11B 则 采 
用 “有 线 加 强 等 效 保密 (WEP)” 安 全 协议 。WAPI 是 无 线 局 域 网 中 的 安全 协议 。 

802. 11b 是 无 线 局 域 网 中 传输 协议 的 一 种 。 无 线 局 域 网 的 传输 协议 包括 802. 11a、 
802. 11b、802. 11g 及 802. 11n, 现 在 以 802. 11n 最 为 流行 ,以 及 未 来 802. 11ac 协议 。 

IEEE 802. 11b 一 1999 为 IEEE 802. 11 一 1999 的 补 篇 ,在 2. 4GHz 频段 提供 了 最 高 
11Mbps 的 速率 规格 ,其 中 的 修改 主要 集中 在 物理 层 ,而 安全 部 分 没有 改变 ,仍然 沿用 了 
IEEE 802. 11 一 1999 中 的 安全 机 制 。WAPI 安全 机 制 与 IEEE 802. 11b 一 1999 在 功能 上 并 
没有 实质 性 的 关联 ,适用 于 IEEE 802. 11b 一 1999 标准 的 网 络 体 系 结构 , 仅 需 对 原始 IEEE 
802. 11 一 1999 标准 的 安全 机 制 部 分 进行 修改 ,将 原 有 的 鉴别 机 制 (Open System 和 Shared 
Key) 和 保密 机 制 (WEP) 分 别 蔡 换 为 WAI( 预 共享 密 钥 和 证 书 ) 和 WPI(SMS4 加 密 )。 


3. WAPI 标准 的 安全 性 


无 线 局 域 网 安全 性 方面 依然 很 脆弱 ,因为 现行 的 无 线 网 络 产品 大 多 数 都 采用 802. 11B 
作为 无 线 传输 协议 ,这 种 协议 的 优点 是 传输 速率 能 达到 11M, 而且 覆盖 范围 达 100m。 但 
是 , 正 是 其 传输 速度 快 ,覆盖 范围 广 , 才 使 它 在 安全 方面 非常 脆弱 。 因 为 数据 在 传输 的 过 程 
中 都 暴露 在 空中 ,很 容易 被 别有用心 的 人 截取 数据 包 。 虽 然 3COM 安奈 特等 国外 厂商 都 针 
对 802.11B 制定 了 一 系列 的 安全 解决 方案 ,但 总 地 来 说 并 不 尽 如 人 意 ,而 且 其 核心 技术 掌 
握 在 别 国人 手中 ,他 们 既然 能 制定 得 出 就 一 定 有 办 法 破解 ,所 以 在 安全 方面 成 了 政府 和 商业 
用 户 使 用 WLAN 的 一 大 隐患 。 由 于 我 国 掌握 了 WAPI 加 密 核心 技术 ,不 怕 有 人 利用 WLAN 
来 盗 取 机 密 信 息 , 而 且 它 的 加 密 技 术 比 802. 11B 更 先进 ,WAPI 采 用 国家 密码 管理 委员 会 
办 公 室 批准 的 公开 密 钥 体 制 的 椭圆 曲线 密码 算法 和 秘密 密 钥 体制 的 分 组 密码 算法 ,实现 了 
设备 的 身份 鉴别 、 链 路 验证 .访问 控 制 和 用 户 信息 在 无 线 传输 状态 下 的 加 密 保 护 。 此 外 ， 
WAPI 从 应 用 模式 上 分 为 单 点 式 和 集中 式 两 种 ,可 以 彻底 扭转 目前 WLAN 采用 多 种 安全 
机 制 并 存 且 互 不 兼容 的 现状 ,从 根本 上 解决 安全 问题 和 兼容 性 问题 。 所 以 我 国 强制 性 地 要 
求 相关 商业 机 构 执 行 WAPI 标准 能 更 有 效 地 保护 数据 的 安全 。 


9.6.3 WPA 安全 机 制 


1. WPA 概述 


WPA2 (WPA 第 2 版 ) 是 Wi-Fi 联盟 对 采用 IEEE 802. 11i 安全 增强 功能 的 产品 的 认证 
计划 。WPA2 是 基于 WPA 的 一 种 新 的 加 密 方式 。 

Wi-Fi 联盟 是 一 家 对 不 同 厂商 的 无 线 LAN 终端 产品 能 够 顺利 地 相互 连接 进行 认证 的 
业界 团体 ,由 该 团体 制定 的 安全 方式 是 WPA (Wi-Fi Protected Access, Wi-Fi 保护 访问 ) 。 
2004 年 9 月 发 表 的 WPA2 支持 AES 加 密 方 式 。 除 此 之 外 ,与 过 去 的 WPA 相 比 在 功能 方 
面 没 有 大 的 区 别 。 

为 了 提高 安全 性 ,IEEE 曾 一 直 致 力 于 制定 IEEE 802. 11i 方式 ,但 标准 化 工作 却 花 费 了 
相当 长 的 时 间 。 因 此 ,Wi-Fi 联盟 就 在 2002 年 10 月 发 表 了 率先 采用 IEEE 802. 11i 功能 的 
WPA, 希 望 以 此 提高 无 线 LAN 的 安全 性 。2004 年 6 月 IEEE 802. 11i 制定 完毕 。 于 是 ， 
Wi-Fi 联盟 经 过 修订 后 重新 推出 了 具有 与 IEEE 802. 11i 标准 相同 功能 的 WPA2。2006 年 
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3 月 WPA2 已 经 成 为 一 种 强制 性 的 标准 。WPA2 需要 采用 高 级 加 密 标准 (AES) 的 芯片 组 
来 支持 。 

WPA 只 是 802. 11i 的 草案 ,但 是 明显 芯片 厂商 已 经 迫不及待 地 需要 一 种 更 为 安全 的 算 
法 ,并 能 成 功 兼容 之 前 的 硬件 。 而 通过 简单 的 固件 升级 ,WPA 就 能 使 用 在 之 前 的 WEP 产 
品 上 。WPA 采用 了 TKIP 算法 (其 实 也 是 一 种 rc4 算法 ,相对 WEP 有 些许 改进 ,避免 了 弱 
攻击) ,还 有 MIC 算法 来 计算 效 验 和 。 目 前 能 破解 TKIP 十 MIC 的 方法 只 有 通过 暴力 破 
解 和 字典 法 。 暴 力 破解 所 耗 的 时 间 应 该 在 正常 情况 下 用 正常 的 PC 是 算 一 辈子 也 算 不 出 来 
的 。 而 字典 法 破解 利用 的 字典 往往 是 英文 单词 数字、 论坛 ID( 有 些 论坛 把 你 的 ID 给 卖 
了 )。 目 前 为 止 还 没有 人 能 像 破解 WEP 一 样 “点 杀 ”WPA 密码 。 如 果 破 解 者 有 一 本 好 字 
典 ,同时 受害 者 取 了 个 “友好 ”的 名 字 除 外 。 因 此 , 往 WPA 密码 中 加 一 些 奇怪 的 字符 会 有 效 
地 保证 安全 。 

WPA2 是 WPA 的 升级 版 ,现在 新 型 的 网 卡 、AP 都 支持 WPA2 加 密 。WPA2 则 采用 了 
更 为 安全 的 算法 。CCMP 取代 了 WPA 的 TKIP,AES 取代 了 WPA 的 MIC。 同 样 ,因为 算 
法 本 身 几 乎 无 懈 可 击 , 所 以 也 只 能 采用 暴力 破解 和 字典 法 来 破解 。 暴 力 破解 是 “不 可 能 完成 
的 任务 ”, 字 典 破解 猿 密码 则 像 买 彩票 。 可 以 看 到 无 线 网 络 的 环境 如 今 是 越 来 越 安 全 了 , 同 
时 槛 盖 范 围 越 来 越 大 ,速度 越 来 越 快 ,日 后 无 线 的 前 途 无 量 。 

WPA 和 WPA2 都 是 基于 802. 11i 的 。 貌 似 WPA 和 WPA2 只 是 一 个 标准 ,而 核心 的 
差异 在 于 WPA2 定义 了 一 个 具有 更 高 安全 性 的 加 密 标 准 CCMP。 所 以 ,采用 的 是 什么 标准 
不 重要 ,重要 的 是 看 采用 哪 种 加 密 方式 。 


2. WPA/WPA2 的 安全 机 制 


白 惠 , 王 轶 骏 , 薛 质 在 (信息 安全 与 通信 保密 》(2012 年 1 期 ) 撰 文 介绍 了 WPA/WPA2 
协议 安全 性 。 他 们 认为 ,WPA/WPA2 不 仅 有 加 密 算法 ,而 且 采 用 多 种 机 制 来 提高 安全 性 。 
作为 802. 11i 的 子 集 ,WPA/WPA2 包含 了 加 密 、 认 证 和 消息 完整 性 校 验 三 个 组 成 部 分 ,是 
一 个 完整 的 安全 方案 。 

1) 加 密 

WPA 和 WPA2 放弃 了 WEP 的 RC4 加 密 算法 ,分 别 采用 了 TKIP 算法 和 AES 算法 进 
行 加 密 , 有 效 地 提高 了 加 密 性 能 。 暂 时 密 钥 集成 协议 (TKIP) 是 对 WEP 密 钥 的 改进 ,相当 
于 包 庄 在 WEP 密 钥 外 围 的 一 层 “ 外 壳 ”, 这 种 加 密 方式 在 尽 可 能 使 用 WEP 算法 的 同时 消除 
了 WEP 的 缺点 。 

2) 认证 

WPA 和 WPA2 分 为 企业 版 的 WAP-Enterprise 和 个 人 版 的 WPA-PSK ,分 别 采用 不 同 
的 认证 方式 。WPA-Enterprise 采用 了 RADIUS (Remote AuthenticationDial In User 
Service) 认 证 , 即 远程 用 户 拨号 认证 系统 ,具有 很 高 的 安全 性 ,主要 用 于 大 型 企业 网 络 中 。 

3) 消息 完整 性 校 验 

消息 完整 性 校 验 (MIC) 是 为 了 防止 攻击 者 从 中 间 截 获 数据 报 文 , 算 改 后 重 发 而 设置 的 。 
除了 和 WEP 一 样 继续 保留 对 每 个 数据 分 段 (MPDU) 进 行 CRC 校 验 外 , WPA 为 每 个 数据 
分 组 (MSDU) 都 增加 了 一 个 8 个 字 节 的 消息 完整 性 校 验 值 , 这 和 WEP 对 每 个 数据 分 段 
(MPDU) 进 行 ICV 校 验 的 目的 不 同 。ICYV 的 目的 是 为 了 保证 数据 在 传输 途中 不 会 因为 品 
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声 等 物理 因素 导致 报 文 出 错 , 因 此 采用 相对 简单 高 效 的 CRC 算法 ,但 是 攻击 者 可 以 通过 修 
改 ICV 值 来 使 之 和 被 算 改 过 的 报 文 相 吻合 ,可 以 说 没有 任何 安全 的 功能 。 而 WPA 中 的 
MIC 则 是 专门 为 了 防止 攻击 者 的 自 改 而 定制 的 , 它 采 用 Michael 算法 ,具有 很 高 的 安全 特 
性 。 当 MIC 发 生 错 误 的 时 候 ,数据 很 可 能 已 经 被 算 改 ,系统 很 可 能 正在 受到 攻击 。 


9.6.4 |EEE 802.1X EAP 认证 机 制 


1. 概述 


802. 1X 协议 是 基于 Client/Server 的 访问 控制 和 认证 协议 。 它 可 以 限制 未 经 授权 的 用 
户 / 设 备 通过 接 人 端口 (Access Port) 访 问 LAN/WLAN。 在 获得 交换 机 或 LAN 提供 的 各 
种 业务 之 前 ,802. 1X 对 连接 到 交换 机 端口 上 的 用 户 /设备 进行 认证 。 在 认证 通过 之 前 ， 
802. 1X 只 允许 EAPoL( 基 于 局 域 网 的 扩展 认证 协议 ) 数 据 通 过 设备 连接 的 交换 机 端口 ; 认 
证 通过 以 后 ,正常 的 数据 可 以 顺利 地 通过 以 太 网 端口 。 

网 络 访问 技术 的 核心 部 分 是 EAP( 端 口 访问 实体 )。 在 访问 控制 流程 中 ,端口 访问 实体 
包含 三 部 分 : 认证 者 ,对 接 入 的 用 户 / 设 备 进行 认证 的 端口 ; 请 求 者 ,被 认证 的 用 户 / 设 备 ; 
认证 服务 器 ,根据 认证 者 的 信息 ,对 请 求 访问 网 络 资源 的 用 户 /设备 进行 实际 认证 功能 的 
设备 。 

以 太 网 的 每 个 物理 端口 被 分 为 受 控 和 不 受 控 的 两 个 逻辑 端 。 认 证 基于 以 太 网 端口 认证 
的 802. 1X 协议 有 如 下 特点 : IEEE 802. 1X 协议 为 二 层 协议 ,不 需要 到 达 三 层 ,对 设备 的 整 
体 性 能 要 求 不 高 ,可 以 有 效 降低 建 网 成 本 ; 借用 了 在 RAS 系统 中 常用 的 EAP( 扩 展 认证 协 
议 ), 可 以 提供 良好 的 扩展 性 和 适应 性 ,实现 对 传统 PPP 认证 架构 的 兼容 ; 802. 1X 的 认证 
体系 结构 中 采用 了 “可 控 端 口 "? 和 “不 可 控 端 口 " 的 逻辑 功能 ,从 而 可 以 实现 业务 与 认证 的 分 
离 ,由 RADIUS 和 交换 机 利用 不 可 控 的 逻辑 端口 共同 完成 对 用 户 的 认证 与 控制 ,业务 报 文 
直接 承载 在 正常 的 二 层 报 文 上 通过 可 控 端口 进行 交换 ,通过 认证 之 后 的 数据 包 是 无 须 封 装 
的 纯 数据 包 ; 可 以 使 用 现 有 的 后 台 认 证 系统 降低 部 署 的 成 本 ,并 有 丰富 的 业务 支持 ; 可 以 
映射 不 同 的 用 户 认证 等 级 到 不 同 的 VLAN; 可 以 使 交换 端口 和 无 线 LAN 具有 安全 的 认证 
接 人 功能 。 


2. 认证 过 程 


(1) 当 用 户 有 上 网 需求 时 打开 802. 1X 客户 端 程序 ,输入 已 经 申请 、 登 记过 的 用 户 名 和 
口令 ,发 起 连接 请 求 。 此 时 ,客户 端 程序 将 发 出 请 求 认证 的 报 文 给 交换 机 ,开始 启动 一 次 认 
证 过 程 。 

(2) 交换 机 收 到 请 求 认证 的 数据 帧 后 ,将 发 出 一 个 请 求 帧 要 求 用 户 的 客户 端 程序 将 输 
入 的 用 户 名 送 上 来 。 

(3) 客户 端 程序 响应 交换 机 发 出 的 请 求 ,将 用 户 名 信息 通过 数据 帧 送 给 交换 机 。 交 换 
机 将 客户 端 送 上 来 的 数据 帧 经 过 封包 处 理 后 送 给 认证 服务 器 进行 处 理 。 

(4) 认证 服务 器 收 到 交换 机 转发 上 来 的 用 户 名 信息 后 ,将 该 信息 与 数据 库 中 的 用 户 名 
表 相 比 对 ,找到 该 用 户 名 对 应 的 口令 信息 ,用 随机 生成 的 一 个 加 密 字 对 它 进 行 加 密 处 理 , 同 
时 也 将 此 加 密 字 传送 给 交换 机 ,由 交换 机 传 给 客户 端 程序 。 
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(5) 客户 端 程序 收 到 由 交换 机 传 来 的 加 密 字 后 ,用 该 加 密 字 对 口令 部 分 进行 加 密 处 理 
(此 种 加 密 算 法 通常 是 不 可 逆 的 ) ,并 通过 交换 机 传 给 认证 服务 器 。 

(6) 认证 服务 器 将 送 上 来 的 加 密 后 的 口令 信息 和 自己 经 过 加 密 运算 后 的 口令 信息 进行 
对 比 ,如 果 相 同 , 则 认为 该 用 户 为 合法 用 户 ,反馈 认证 通过 的 消息 ,并 向 交换 机 发 出 打开 端口 
的 指令 ,允许 用 户 的 业务 流通 过 端口 访问 网 络 。 和 否则 ,反馈 认证 失败 的 消息 ,并 保持 交换 机 
端口 的 关闭 状态 ,只 允许 认证 信息 数据 通过 而 不 允许 业务 数据 通过 。 


3. 环境 特点 


(1) 交换 式 以 太 网 络 环境 。 在 交换 式 以 太 网 络 中 ,用 户 和 网 络 之 间 采 用 点 对 点 的 物理 
连接 ,用 户 彼此 之 间 通 过 VLAN 隔离 ,此 网 络 环境 下 ,网 络 管理 控制 的 关键 是 用 户 接 入 控 
制 ,802. 1X 不 需要 提供 过 多 的 安全 机 制 。 

(2) 共享 式 网 络 环境 。 当 802. 1X 应 用 于 共享 式 的 网 络 环境 时 ,为 了 防止 在 共享 式 的 网 
络 环境 中 出 现 类 似 * 搭 载 ” 的 问题 ,有 必要 将 PAE 实体 由 物理 端口 进一步 扩展 为 多 个 互相 独 
立 的 逻辑 端口 。 逻 辑 端口 和 用 户 / 设 备 形成 一 一 对 应 关系 ,并 且 各 逻辑 端口 之 间 的 认证 过 程 
和 结果 相互 独立 。 在 共享 式 网 络 中 ,用 户 之 间 共 享 接 人 物理 媒介 , 接 人 网 络 的 管理 控制 必须 
兼顾 用 户 接 人 控制 和 用 户 数据 安全 ,可 以 采用 的 安全 措施 是 对 EAPoL 和 用 户 的 其 他 数据 
进行 加 密封 装 。 在 实际 网 络 环境 中 ,可 以 通过 加 速 WEP 密 钥 重 分 配 周期 ,弥补 WEP 静态 
分 配 秘 钥 导 致 的 安全 性 的 缺陷 。 


4. 优点 


认证 优势 综合 IEEE 802. 1X 的 技术 特点 ,其 具有 的 优势 可 以 总 结 为 以 下 几 点 。 

(1) 简洁 高 效 。 纯 以 太 网 技术 内 核 ,保持 了 IP 网 络 无 连接 特性 ,不 需要 进行 协议 间 的 
多 层 封 装 ,去 除了 不 必要 的 开销 和 袍 余 ; 消除 网 络 认证 计 费 瓶颈 和 单 点 故障 ,易于 支持 多 业 
务 和 新 兴 流 媒体 业务 。 

(2) 容易 实现 。 可 在 普通 L3、L2、IPDSLAM 上 实现 ,网 络 综合 造价 成 本 低 ,保留 了 传 
统 AAA 认证 的 网 络 架构 ,可 以 利用 现 有 的 RADIUS 设备 。 

(3) 安全 可 靠 。 在 二 层 网 络 上 实现 用 户 认证 ,结合 MAC、 端 口 、 账 户 、VLAN 和 密码 
等 ; 绑 定 技术 具有 很 高 的 安全 性 ,在 无 线 局 域 网 网 络 环境 中 802. 1X 结合 EAP-TLS、 
EAP-TTLS, 可 以 实现 对 WEP 证 书 密 钥 的 动态 分 配 , 克 服 无 线 局 域 网 接 人 中 的 安全 漏洞 。 

(4) 行业 标准 。IEEE 标准 和 以 太 网 标准 同 源 , 可 以 实现 和 以 太 网 技术 的 无 颖 融合 , 几 
乎 所 有 的 主流 数据 设备 厂商 在 其 设备 ,包括 路 由 器 .交换 机 和 无 线 AP 上 都 提供 对 该 协议 的 
支持 。 在 客户 端 方面 ,微软 Windows XP 操作 系统 内 置 支持 ,Linux 也 提供 了 对 该 协议 的 
支持 。 

(5) 应 用 灵活 。 可 以 灵活 控制 认证 的 颗粒 度 ,用 于 对 单个 用 户 连接 、 用 户 ID 或 者 是 对 
接 人 设备 进行 认证 ,认证 的 层次 可 以 进行 灵活 的 组 合 ,满足 特定 的 接 人 技术 或 者 是 业务 的 
需要 。 

(6) 易于 运营 。 控 制 流 和 业务 流 完 全 分 离 ,易于 实现 跨 平台 多 业务 运营 ,少量 改造 传统 
包月 制 等 单一 收费 制 网 络 即 可 升级 成 运营 级 网 络 ,而 且 网 络 的 运营 成 本 也 有 望 降低 。 
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5. 认证 标准 

IEEE 802. 1X 是 IEEE 制定 关于 用 户 接 人 网 络 的 认证 标准 (注意 : 此 处 X 是 大 写 ,详细 
内 容 请 参看 IEEE 关于 命名 的 解释 )。 它 的 全 称 是 “基于 端口 的 网 络 接 入 控制 ”, 于 2001 年 
标准 化 ,之 后 为 了 配合 无 线 网 络 的 接 入 进行 修订 改版 ,于 2004 年 完成 。 

IEEE 802. 1X 协议 在 用 户 接 入 网 络 ( 可 以 是 以 太 网 ,也 可 以 是 Wi-Fi 网 ) 之 前 运行 ,运行 
于 网 络 中 的 MAC 层 。 

IEEE 802. 1X 协议 具有 完备 的 用 户 认证 ,管理 功能 ,可 以 很 好 地 支撑 宽带 网 络 的 计 费 、 
安全 ,运营 和 管理 要 求 , 对 宽带 IP 城 域 网 等 电信 级 网 络 的 运营 和 管理 具有 极 大 的 优势 。 
IEEE 802. 1X 协议 对 认证 方式 和 认证 体系 结构 进行 了 优化 ,解决 了 传统 PPPOE 和 
WEB/PORTAL 认证 方式 带 来 的 问题 ,更 加 适合 在 宽带 以 太 网 中 的 使 用 。 


6. 认证 模式 
(1) 端口 认证 模式 。 在 模式 下 只 要 连接 到 端口 的 某 个 设备 通过 认证 ,其 他 设备 则 不 需 


要 认证 就 可 以 访问 网 络 资源 。 
(2) MAC 认证 模式 。 该 模式 下 连接 到 同一 端口 的 每 个 设备 都 需要 单独 进行 认证 。 


9.6.5 |IEEE 802.16d 的 安全 机 制 
1. 概述 


IEEE 802. 16 宽带 无 线 MAN 标准 ,也 就 是 WiMAX(IEEE 802. 16: Broadband Wireless 
MAN Standard-WiMAX)。IEEE 802. 16 是 为 用 户 站 点 和 核心 网 络 ( 如 公共 电话 网 和 
Internet) 间 提供 通信 路 径 而 定义 的 无 线 服 务 。 无 线 MAN 技术 也 称 为 Wi MAX。 这 种 无 线 
宽带 访问 标准 解决 了 城 域 网 中 “最 后 一 英里 ”问题 ,因为 DSL、 电 缆 及 其 他 带宽 访问 方法 的 
解决 方案 要 么 行 不 通 , 要 么 成 本 太 高 。 

IEEE 802. 16 标准 主要 与 用 户 收发 站 和 基站 间 的 无 线 接口 相关 。 它 于 2004 年 6 月 被 
IEEE 正式 审核 通过 。 有 三 个 工作 组 受 特许 制定 该 标准 : IEEE 802. 16 任务 组 1 ,推出 了 一 
种 点 对 多 点 的 宽带 无 线 访问 系统 标准 ,其 中 系统 频带 范围 为 10 一 66GHz。 该 标准 包含 介质 
访问 控制 (MAC) 和 物理 层 (PHY)。 任 务 组 a 和 b 共同 合作 拓展 规范 ,对 许可 和 未 许可 波段 
(2 一 11GHz) 在 技术 上 作 了 进一步 改善 。 


2. IEEE 802.1 的 层次 


IEEE 802. 16 负责 对 无 线 本 地 环 路 的 无 线 接口 及 其 相关 功能 制定 标准 , 它 由 三 个 小 工 
作 组 组 成 ,每 个 小 工作 组 分 别 负责 不 同 的 方面 : IEEE 802. 16. 1 负责 制定 频率 为 10 一 60GHz 
的 无 线 接口 标准 ; IEEE 802. 16. 2 负责 制定 宽带 无 线 接 入 系统 共存 方面 的 标准 ; IEEE 
802. 16. 3 负责 制定 频率 范围 在 2 一 10GHz 之 间 获 得 频率 使 用 许可 的 应 用 的 无 线 接口 标准 。 
可 以 看 到 ,802. 16. 1 所 负责 的 频率 是 非常 高 的 ,而 它 的 工作 也 是 在 这 三 个 组 中 走 在 最 前 沿 
的 。 由 于 其 所 定位 的 带宽 很 特殊 ,在 将 来 802. 16. 1 最 有 可 能 会 引起 工业 界 的 兴趣 。 

IEEE 802. 16 无 线 服务 的 作用 就 是 在 用 户 站 点 同 核心 网 络 之 间 建 立 起 一 个 通信 路 径 ， 
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这 个 核心 网 络 可 以 是 公用 电话 网 络 , 也 可 以 是 因特网 。IEEE 802. 16 标准 所 关心 的 是 用 户 
的 收发 机 同 基 站 收发 机 之 间 的 无 线 接口 。 其 中 的 协议 专门 对 在 网 络 中 传输 大 数据 块 时 的 无 
线 传输 地 址 问题 做 了 规定 ,协议 标准 是 按照 三 层 结构 体系 组 织 的 。 

三 层 结构 中 的 最 底层 是 物理 层 , 该 层 的 协议 主要 是 关于 频率 带宽 、 调 制 模式 、 纠 错 技术 
以 及 发 射 机 同 接 收 机 之 间 的 同步 ,数据 传输 率 和 时 分 复 用 结构 等 方面 的 。 对 于 从 用 户 到 基 
站 的 通信 ,标准 使 用 的 是 按 需 分 配 多 路 寻 址 一 时 分 多 址 (DAMA-TDMA) 技 术 。 按 需 分 配 
多 路 寻 址 技术 是 一 种 根据 多 个 站 点 之 间 的 容量 需要 的 不 同 而 动态 地 分 配 信道 容量 的 技术 。 
时 分 多 址 是 一 种 时 分 技术 , 它 将 一 个 信道 分 成 一 系列 的 帧 ,每 个 帧 都 包含 很 多 的 小 时 间 单 
位 , 称 为 时 阶 。 时 分 多 路 技术 可 以 根据 每 个 站 点 的 需要 为 其 在 每 个 帧 中 分 配 一 定数 量 的 时 
隙 来 组 成 每 个 站 点 的 逻辑 信道 。 通 过 DAMA-TDMA 技术 ,每 个 信道 的 时 隙 分 配 可 以 动态 
地 改变 。 

在 物理 层 之 上 是 数据 链 路 层 ,在 该 层 上 IEEE 802. 16 规定 的 主要 是 为 用 户 提供 服务 所 
需 的 各 种 功能 。 这 些 功 能 都 包括 在 MAC 层 中 ,主要 负责 将 数据 组 成 帧 格式 来 传输 和 对 用 
户 如 何 接 人 到 共享 的 无 线 介 质 中 进行 控制 。MAC 协议 对 基站 或 用 户 在 什么 时 候 采 用 何 种 
方式 来 初始 化 信道 做 了 规定 。 因 为 MAC 层 之 上 的 一 些 层 如 ATM 需要 提供 服务 质量 服务 
(QoS) ,所 以 MAC 协议 必须 能 够 分 配 无 线 信道 容量 。 位 于 多 个 TDMA 帧 中 的 一 系列 时 辽 
为 用 户 组 成 一 个 逻辑 上 的 信道 ,而 MAC 帧 则 通过 这 个 逻辑 信道 来 传输 。IEEE 802. 16. 1 
规定 每 个 单独 信道 的 数据 传输 率 范围 是 2 一 155Mb/s。 

在 MAC 层 之 上 是 一 个 汇聚 层 , 该 层 根 据 提供 服务 的 不 同 提供 不 同 的 功能 。 对 于 IEEE 
802. 16. 1 来 说 ,能 提供 的 服务 包括 数字 音频 /视频 广播 .数字 电话 、 异 步 传输 模式 ATM、 因 
特 网 接 入 、 电 话 网 络 中 无 线 中 继 和 帧 中 继 。 


3. IEEE 802.16m 标准 


2012 年 8 月 7 日 ,IEEE 批 准 IEEE 802.16m 成 为 下 一 代 WiMax 标准 。IEEE 802. 16m 标 
准 也 被 称 作 WirelessMAN-Advanced 或 者 WiMax 2 ,是 继 802. 16e 后 的 第 二 代 移 动 WiMax 
国际 标准 。IEEE 表示 ,新 标准 的 制定 花费 了 超过 4 年 的 时 间 ,但 是 更 多 的 运营 商 目 前 还 是 
选择 使 用 其 他 标准 。 例 如 ,大 多 数 想 要 部 署 4G 网 络 的 运营 商 选择 的 是 长 期 演进 (LTE) 技 
术 , 它 与 WiMax 拥有 着 部 分 共同 点 ,但 是 由 不 同 标准 机 构 制 定 。 

IEEE 802. 16m 采用 了 多 输入 多 输出 技术 (Multiple-Input/ Multiple-Output, MIMO)。 
MIMO 目前 应 用 于 802. 11g 和 802. 11n 路 由 器 ,以 及 需要 提速 的 接 入 点 。 基 于 该 技术 的 
54Mbps 路 由 器 理论 上 可 以 达到 108Mb/s 的 传输 速率 。 

IEEE 委员 会 指出 ,尽管 802. 16m 并 非 WiMax 的 一 部 分 ,但 在 两 种 标准 之 间 将 存在 跨 
平台 的 兼容 性 。 另 外 ,新 的 802. 16m 标准 还 将 兼容 未 来 的 4G 无线 网 络 。 届 时 4G 将 基于 
OFDMA 规范 ,放弃 现在 的 WCDMA 和 CDMA2000 标准 。 据 IEEE 透露 ,802. 16m 也 将 兼 
容 OFDMA。 

目前 的 802. 16m 规格 包括 : 

(1) 极 低速 率 数据 16kbps; 

(2) 低速 率 数据 及 低速 多 媒体 144kbps; 

(3) 中 速 多 媒体 2Mbps; 
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(4) 高 速 多 媒体 30Mbps; 

(5) 超 高 速 多 媒体 30 一 100Mbps/1Gbps。 

不 过 ,802. 16m 的 上 行 速 率 仍 未 确定 。 尽 管 802. 16m 可 为 移动 设备 带 来 高 传输 速率 ， 
但 是 IEEE 委员 会 决定 将 其 率先 应 用 于 军用 领域 而 非 主流 市 场 。IEEE 的 802. 16m 文档 透 
露 , 军 方 的 帮助 可 令 这 一 新 型 的 无 线 标准 开发 得 更 快 。IEEE 表示 ,今天 的 军用 需求 就 是 明 
天 的 民用 需求 。 


人 是 9 


1. 名 词 解释 

(1) 核 心 网 ; (2)NGN; (3) 服 务 器 虚拟 化 ;(4) 移 动 通信 ; (5)3G 。 

2. 判断 题 

虚拟 化 是 支撑 云 计算 的 重要 技术 基石 , 云 计算 中 所 有 应 用 的 物理 平台 和 部 署 环境 都 依 
赖 虚拟 平台 的 管理 .扩展 .迁移 和 备份 ,各 操作 都 通过 虚拟 化 层次 完成 。( ) 

3. 填空 题 

(1) 网 络 层 的 安全 手段 包括 二 

(2) NGN 网 络 的 安全 问题 主要 包括 和 两 个 方面 。 

(3) 就 目前 通信 网 络 现状 而 言 ,NGN 可 能 面临 的 安全 威胁 包括 


~ o 


(4) 云 计算 的 基本 架构 主要 包括 、 和 ,基于 云 计算 的 网 络 架 
构 又 可 分 为 、 和 三 个 部 分 。 
(5) 作为 一 个 多 种 无 线 网 络 共 存 的 通信 系统 ,4G 系统 包括 、 、 
和 1IP 骨干 网 4 个 部 分 。 


(6) 在 制定 4G 无 线 网 络 安全 方案 时 应 综合 采用 以 下 策略 : 
4. 选择 题 
(1) 网 络 层 的 安全 威胁 包括 ( 。”)。 
A. 网 关 攻 击 B. IP 欺骗 C. ICMP 攻 击 D. 系统 漏洞 
(2) 物 联网 网 络 层 可 划分 为 接 入 /核心 网 和 业务 网 两 部 分 ,它们 面临 的 安全 威胁 主要 是 (。”)。 


A. 拒绝 服务 攻击 B. 假冒 基站 攻击 

C. 基础 密 钥 汇 露 威胁 D. 隐私 泄露 威胁 
(3) 支撑 系统 安全 域 的 安全 需求 有 ( )。 

A. 高 强度 的 用 户 认 证 机 制 B. 稳健 的 操作 运行 平台 

C. 重要 系统 物理 隔离 D. 优化 系统 安全 策略 
(4) 数据 中 心 网 络 虚拟 化 包括 ( ) 

A. 核心 层 虚 拟 化 B. 接 入 层 虚拟 化 

C. 虚拟 机 网 络 交换 D. 应 用 层 虚拟 化 


(5) 虚拟 化 解决 方案 设计 好 以 后 ,下 一 步 就 是 把 解决 方案 变 成 实际 的 系统 ,涉及 的 方面 
有 ( is 
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A. 系统 需求 分 析 B. 物理 到 虚拟 的 转化 
C. 系统 的 稳健 性 和 易 操 作 性 D. 实施 的 安全 性 

(6) 3G 系统 的 安全 威胁 包括 ( )。 
A. 用 户 不 当 使 用 B. 敏感 数据 的 非法 获取 
C. 对 网 络 服务 的 干扰 或 滥用 D. 对 服务 的 非法 访问 


(7) 3G 与 以 往 的 移动 通信 系统 相 比 ,在 安全 性 方面 有 了 很 大 的 提高 ,但 是 3G 仍然 存在 
一 些 安全 缺陷 ,表现 在 ( 》 5 
A. 未 保护 到 的 信 令 数据 
B. 拒绝 服务 攻击 
C. 未 提供 用 户 数 据 完整 性 保护 
D. Iu 和 Iur 接口 上 传输 的 数据 缺乏 保护 措施 
5. 简 答题 
(1) 网 络 安全 保护 技术 分 为 哪 几 类 ? 
(2) 云 计 算 的 虚拟 化 安全 问题 主要 集中 在 哪 几 点 ? 
(3) 请 简单 介绍 一 下 3G 的 几 种 标准 。 
(4) 3G 的 安全 要 求 有 哪些 ? 
6. 论述 题 
未 来 3G 系统 的 安全 将 可 以 从 哪 几 个 方面 加 以 发 展 和 完善 ? 
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本 章 将 介绍 应 用 层 安全 需求 .Web 安全 ,中 间 件 安全 \ 数 据 安 全 和 云 计算 安全 。 要 求学 
生 掌 握 物 联网 应 用 层 安全 的 技术 。 


(10,1 应 用 层 安全 需求 
— 


本 节 将 介绍 应 用 层面 临 的 安全 问题 和 应 用 层 安 全 技术 需求 。 


10.1.1 应 用 层面 临 的 安全 问题 
1. 应 用 层 安全 漏洞 


目前 的 网 络 攻击 大 多 出 现在 应 用 层 ,而 不 是 普通 防火 墙 防范 的 网 络 层 。 很 多 攻击 手段 
可 以 轻易 地 绕 过 防火 墙 进入 网 络 。 de 

传统 的 骨干 网 络 交 换 设备 都 是 基于 2 一 3 层 网 络 结构 所 设计 ,它们 为 网 络 提供 了 最 为 基 
础 的 构架 ,确保 了 骨干 网 的 大 容量 ,高 速率 。 但 是 , 随 着 网 络 应 用 的 不 断 发 展 , 更 多 的 功能 与 
服务 都 将 通过 4 一 7 层 网 络 来 实现 。 随 着 4 一 7 层 网 络 应 用 的 增多 ,安全 问题 难以 避免 。 在 
4 一 7 层 网 络 上 如 何 保证 安全 性 呢 ? 随 着 针对 网 络 应 用 层 的 病毒 .黑客 以 及 漏洞 攻击 的 不 断 
爆发 ,目前 面临 的 安全 方面 的 挑战 主要 集中 在 应 用 层 ,所 以 解决 的 办 法 也 不 能 像 普 通 防火 墙 
一 样 在 网 络 层 解决 。 安 全 性 的 保障 应 该 是 从 应 用 层 着 手 。 

传统 的 网 络 安全 体系 架构 通常 是 由 2 一 3 层 (数据 链 路 层 和 网 络 层 ) 设 备 组 成 的 ,对 数据 
包 只 能 进行 2 一 3 层 的 分 析 和 处 理 , 因 而 存在 巨大 的 缺陷 。 

近来 大 多 数 攻 击 都 有 一 些 共同 的 特点 , 那 就 是 针对 应 用 层 攻 击 . 草 延 速度 快 等 。 传 统 的 
2 一 3 层 网 络 安全 体系 ,其 防范 措施 要 么 是 等 待 下 载 补丁 程序 ,要 么 是 关闭 某 些 端口 。 这 些 
措施 不 但 费时 费力 ,而 且 有 一 点 事后 诸葛 的 味道 ,无 法 彻底 保证 网 络 系统 的 安全 。 而 网 络 安 
全 是 一 个 完整 的 体系 ,针对 4 一 7 层 的 攻击 也 日 益 增 多 ,因此 4 一 7 层 的 网 络 安全 同样 不 可 


2. 应 用 层 安全 威胁 


在 解决 安全 问题 之 前 ,需要 先 了 解 一 下 应 用 层 威胁 的 形式 和 原理 。 所 谓 应 用 层 威胁 , 主 
要 包括 下 面 几 种 形式 : 病毒 、 蜂 虫 .木马 \ 不 受 欢迎 应 用 程序 ,远程 攻击 、 人 员 威 胁 等 。 
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1) 病毒 .蠕虫 和 木马 

(1) 病毒 。 计 算 机 病毒 是 破坏 计算 机 正常 运行 的 程序 ,使 之 无 法 正常 使 用 。 计 算 机 病 
毒 有 复制 能 力 ,可 以 很 快 草 延 ,难以 根除 。 它 们 能 把 自身 附着 在 各 种 类 型 的 文件 上 , 当 文 件 
被 复制 和 传送 时 ,它们 就 随 之 一 起 草 延 开 来 。 病 毒 程序 不 是 独立 存在 的 , 它 隐 项 在 其 他 可 执 
行 的 程序 之 中 , 既 有 破坏 性 又 有 传染 性 和 潜伏 性 。 轻 则 影响 机 器 运行 速度 , 重 则 使 机 器 处 于 
瘫 疾 , 给 用 户 带 来 不 可 估量 的 损失 。 

(2) 蠕虫 。 蠕 忠 的 定义 是 指 “ 通 过 计算 机 网 络 进行 自我 复制 的 恶意 程序 ,泛滥 时 可 以 导 
致 网 络 阻塞 和 次 病 ”。 从 本 质 上 讲 , 蠕 虫 和 病毒 的 最 大 区 别 在 于 蠕虫 是 通过 网 络 进行 主动 传 
播 ,而 病毒 需要 人 的 手工 干预 (如 各 种 外 部 存储 介质 的 读 写 )。 但 是 时 至 今日 ,蠕虫 往往 和 各 
种 威胁 结合 起 来 ,形成 混合 型 蠕虫 。 蠕 虫 通过 电子 邮件 或 网 络 数 据 包 传 播 。 因 此 ,蠕虫 的 生 
存 能 力 远 超 计 算 机 病毒 。 借 助 Internet, 可 以 在 发 布 后 数 小 时 内 传播 到 世界 各 地 。 这 种 独 
立 快速 复制 的 能 力 使 得 它们 比 其 他 类 型 恶意 软件 (如 病毒 ) 更 加 危险 。 

(3) 木马 。 历 史上 对 计算 机 木马 的 定义 是 : 试图 以 有 用 程序 的 假 面具 欺骗 用 户 允 许 其 
运行 的 一 类 渗透 。“ 木 马 "一 词 用 来 形容 不 属于 任何 特定 类 别 的 所 有 渗透 。 

2) 不 受 欢迎 应 用 程序 

潜在 的 不 受 欢迎 应 用 程序 未 必 是 恶意 的 , 它 会 以 负面 方式 影响 计算 机 的 性 能 。 此 类 应 
用 程序 通常 会 在 安装 前 提请 用 户 同 意 。 如 果 计 算 机 上 安装 了 这 类 程序 ,系统 运行 (与 安装 前 
相 比 ) 会 有 所 不 同 。 其 中 最 显著 的 变化 是 : 系统 会 打开 以 前 没 见 过 的 新 窗口 ,启动 并 运行 隐 
藏 的 进程 ,系统 资源 的 使 用 增加 ,搜索 结果 发 生 改 变 ,应 用 程序 会 与 远程 服务 器 通信 。 

(1) Rootkit。Rootkit 是 一 种 恶意 程序 , 它 能 在 隐瞒 自身 存在 的 同时 赋予 Internet 攻 
击 者 不 受 限制 的 系统 访问 权 。 访 问 系统 (通常 利用 系统 漏洞 ) 后 ,Rootkit 可 使 用 操作 系统 
中 的 功能 避 开 病毒 防护 软件 的 检测 : 它们 能 够 隐藏 进程 .文件 和 Windows 注册 表 数 据 。 有 
鉴于 此 ,几乎 无 法 使 用 普通 测试 技术 检测 到 它们 。 

(2) 广告 软件 。 广 告 软件 是 可 支持 广告 宣传 的 软件 的 简称 。 显 示 广 告 资料 的 程序 便 属 
于 这 一 类 别 。 广 告 软件 应 用 程序 通常 会 在 Internet 浏览 器 中 自动 打开 一 个 包含 广告 的 新 弹 
出 窗口 ,或 者 更 改 浏 览 器 主页 。 广 告 软件 通常 与 免费 软件 程序 绑 定 在 一 起 ,以 填补 免费 软件 
开发 人 员 开 发 应 用 程序 (通常 为 有 用 程序 ) 的 成 本 。 广 告 软件 本 身 并 不 危险 ,用 户 仅 会 受到 
广告 的 干扰 。 广 告 软件 的 危险 在 于 它 也 可 能 执行 跟踪 功能 (和 间谍 软件 一 样 ) 。 

(3) 间谍 软件 。 此 类 别 包括 所 有 在 未 经 用 户 同意 /了 解 的 情况 下 发 送 私 人 信息 的 应 用 
程序 。 它 们 使 用 跟踪 功能 发 送 各 种 统计 数据 ,例如 所 访问 网 站 的 列表 、 用 户 联系 人 列表 中 的 
电子 邮件 地 址 、 输 入 按键 的 列表 ,安全 代码 .PIN 银行 账号 等 。 

(4) 潜在 的 不 安全 应 用 程序 

许多 合法 程序 用 于 简化 联网 计算 机 的 管理 。 但 如 果 使 用 者 动机 不 纯 , 它 们 也 可 能 被 恶 
意 使 用 。 这 就 是 ESET 创建 此 特殊 类 别 的 原因 。 客 户 现在 可 以 选择 病毒 防护 系统 是 否 检 
测 此 类 威胁 。 “潜在 的 不 安全 应 用 程序 ”是 指 用 于 商业 目的 的 合法 软件 。 其 中 包括 远程 访问 
工具 密码 破解 应 用 程序 以 及 按键 记录 器 (用 于 记录 用 户 键盘 输入 信息 ) 等 程序 。 

3) 远程 攻击 

许多 特殊 技术 允许 攻击 者 危害 远程 系统 安全 。 它 们 分 为 多 个 类 别 。 

(1) DoS 攻击 。DoS( 拒 绝 服务 ) 是 一 种 使 计算 机 资源 对 其 目标 用 户 不 可 用 的 攻击 。 受 
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到 DoS 攻击 的 计算 机 通常 需要 重新 启动 ,否则 它们 将 无 法 正常 工作 。 受 影响 用 户 之 间 的 通 
信 会 受到 阻塞 ,无 法 以 正常 方式 继续 执行 。 在 大 多 数 情况 下 ,此 攻击 的 目标 是 Web 服务 器 ， 
目的 在 于 使 用 户 在 一 段 时 间 内 无 法 访问 它们 。 

(2) DNS 投 毒 。 通 过 DNS( 域 名 服务 器 ) 投 毒 方法 ,黑客 可 以 欺骗 任何 计算 机 的 DNS 
服务 器 ,使 其 相信 它们 提供 的 虚假 数据 是 合法 .可 信 的 。 然 后 ,虚假 信息 将 缓存 一 段 时 间 。 
例如 ,攻击 者 可 以 改写 IP 地 址 的 DNS 回复 。 因 此 ,尝试 访问 Internet 网 站 的 用 户 将 下 载 计 
算 机 病毒 或 蠕虫 ,而 不 是 初始 内 容 。 

(3) 端口 扫描 。 端 口 扫 描 控制 网 络 主机 上 是 否 有 开放 的 计算 机 端口 。 端 口 扫描 程序 是 
用 于 查找 此 类 端口 的 软件 。 计 算 机 端口 是 处 理 传人 和 传 出 数据 的 虚拟 点 ,从 安全 角度 来 说 
它 非常 重要 。 在 大 型 网 络 中 ,端口 扫描 程序 收集 的 信息 可 能 有 助 于 识别 潜在 漏洞 。 此 类 使 
用 是 合法 行为 。 不 过 ,试图 破坏 系统 安全 的 黑客 也 常 使 用 端口 扫描 。 他 们 第 一 步 是 向 每 个 
端口 发 送 数据 包 。 根 据 响应 类 型 ,可 以 确定 哪些 端口 正在 使 用 中 。 扫 描 本 身 不 引起 破坏 ,但 
请 注意 ,此 活动 可 暴露 潜在 漏洞 并 允许 攻击 者 控制 远程 计算 机 。 建 议 网 络 管理 员 阻 止 所 有 
不 使 用 的 端口 ,保护 正在 使 用 的 端口 免 遭 未 经 授权 的 访问 。 

(4) TCP 去 同步 化 。TCP 去 同步 化 是 TCP 劫持 攻击 中 使 用 的 技术 。 它 由 进程 触发 ， 
在 该 进程 中 传人 数据 包 的 序列 号 与 预期 序列 号 不 同 。 具 有 非 预期 序列 号 的 数据 包 将 被 拒绝 
(或 者 保存 在 缓存 存储 区 中 ,如 果 它 们 出 现在 当前 通信 窗口 中 的 话 ) 。 在 去 同步 化 状态 下 ,两 
个 通信 端点 都 会 拒绝 收 到 的 数据 包 。 此 时 ,远程 攻击 者 可 以 渗透 并 提供 带 有 正确 序列 号 的 
数据 包 。 攻 击 者 甚至 可 以 使 用 命令 操纵 通信 ,或 者 以 其 他 方式 修改 通信 。TCP 劫持 攻击 的 
目的 在 于 中 断 服务 器 与 客户 端 通信 或 点 对 点 通信 。 

(5) SMB 中 继 。SMBRelay 和 SMBRelay2 是 能 够 对 远程 计算 机 执行 攻击 的 特殊 程序 。 
SMBRelay 在 UDP 端口 139 和 445 上 接收 连接 ,中 继 客户 端 和 服务 器 交换 的 数据 包 , 并 修 
改 它们 。 连 接 并 验证 后 ,将 断 开 客户 端 连接 。SMBRelay2 攻击 允许 远程 攻击 者 在 不 被 注意 
的 情况 下 读 取 、 插 入 和 修改 两 个 通信 端点 之 间 交 换 的 消息 。 受 到 此 类 攻击 的 计算 机 常常 停 
止 响 应 或 意外 重新 启动 。 

(6) ICMP 攻击 。ICMP(Internet 控制 消息 协议 ) 是 一 种 流行 且 广 泛 使 用 的 Internet 协 
议 。 它 主要 由 联网 计算 机 用 于 发 送 各 种 错误 消息 。 远 程 攻击 者 试图 利用 ICMP 协议 的 弱 
点 。ICMP 设计 用 于 无 须 验证 的 单 向 通信 。 这 人 允许 远程 攻击 者 触发 所 谓 的 DoS 攻击 ,或 多 
许 未 经 授权 的 个 人 访问 传人 和 传 出 数据 包 的 攻击 。 典 型 ICMP 攻击 包括 ping flood ICMP_ 
ECHO flood 和 smurf attack。 受 到 ICMP 攻击 的 计算 机 速度 明显 减 慢 ,并 且 出 现 Internet 
连接 问题 。 

4) 人 员 威 胁 

(1) 骇 客 。Cracker 的 音译 , “破解 者 ”的 意思 。 从 事 恶 意 破解 商业 软件 、 恶 意 和 人 侵 别人 
的 网 站 等 事务 。 

(2) 内 部 人 员 。 内 部 人 员 的 威胁 常常 是 计算 机 安全 的 主要 敌人 。 恶 意 系统 管理 员 能 够 
造成 预计 之 外 的 破坏 效果 。 

(3) 带宽 滥用 。“ 带 宽 滥用 ”是 指 对 于 企业 网 络 来 说 , 非 业 务 数据 流 消耗 了 大 量 带 宽 , 轻 
则 使 企业 业务 无 法 正常 运作 , 重 则 致使 企业 IT 系统 瘫痪 。P2P(Peer-to-Peer, 对 等 互联 网 
络 技术 ) 也 叫 点 对 点 网 络 技术 , 它 使 用 户 可 以 直接 连接 到 其 他 用 户 的 计算 机 ,进行 文件 共享 
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与 交换 。P2P 包括 两 类 : 第 一 类 是 文件 共享 型 P2P 应 用 ,包括 BT、eMule 和 eDonkey 等 。 
第 二 类 是 IM( 即 时 通信 ) 软 件 ,如 QQ、MSN 和 Skypy 等 。 带 宽 滥 用 给 网 络 带 来 了 新 的 威 
胁 和 问题 ,甚至 影响 到 企业 IT 系统 的 正常 运作 , 它 使 用 户 的 网 络 不 断 扩 容 , 但 还 是 不 能 
满足 "P2P 对 带宽 的 渴望 ”, 大 量 的 带宽 浪费 在 与 工作 无 关 流量 上 ,造成 了 投资 的 浪费 和 
效率 的 降低 。 另 一 方面 , P2P 使 得 文件 共享 和 发 送 更 加 容易 , 带 来 了 潜在 的 信息 安全 
风险 。 


3. 物 联 网 应 用 层 安全 威胁 


应 用 层 实现 的 是 各 种 具体 应 用 业务 , 它 所 涉及 的 安全 问题 主要 有 下 面 几 个 方面 : 如 何 
实现 用 户 隐私 信息 的 保护 ,同时 又 能 正确 认证 用 户 信息 ; 不 同 访问 权限 如 何 对 同一 数据 库 
内 容 进 行 筛选 ; 信息 泄露 如 何 追 踪 问题 ; 电子 产品 和 软件 的 知识 产权 如 何 保护 ; 恶意 代码 
以 及 各 类 软件 系统 自身 漏洞 .可 能 的 设计 缺陷 .黑客 .各 类 病毒 是 物 联 网 应 用 系统 的 重要 威 
胁 ; 物 联网 涉及 范围 广 ,目前 海量 数据 信息 处 理 和 业务 控制 策略 方面 的 技术 还 存在 着 安全 
性 和 可 靠 性 的 问题 。 


10.1.2 应 用 层 安 全 技术 需求 


当前 ,学 术 领 域 和 应 用 领域 普遍 将 物 联 网 研究 聚焦 在 物 联 网 的 感知 层 ,强调 对 物理 世界 
的 感知 和 信息 采集 ,而 对 网 络 层 和 应 用 层 的 重视 不 足 。 对 于 物 联 网 来 讲 , 感 知 层 的 数据 采集 
只 是 物 联网 的 首要 环节 ,而 对 感知 层 所 采集 海量 数据 的 智能 分 析 和 数据 挖掘 ,以 实现 对 物理 
世界 的 精确 控制 和 智能 决策 支撑 才 是 物 联网 的 最 终 目标 ,也 是 物 联网 智慧 性 体现 的 核心 ,这 
一 目标 的 实现 离 不 开 应 用 层 的 支撑 。 

如 果 从 应 用 层 的 角度 来 看 物 联网 , 物 联网 可 以 看 作 是 一 个 基于 通信 网 互联 网 或 专用 网 
络 的 ,以 提高 物理 世界 的 运行 管理、 资源 使 用 效率 等 水 平 为 目标 的 大 规模 信息 系统 。 这 一 
信息 系统 的 数据 来 自 于 感知 层 对 物理 世界 的 感应 ,并 将 产生 大 量 引发 应 用 层 深 度 互 联 和 跨 
域 协作 需求 的 事件 ,从 而 使 得 上 述 大 规模 信息 系统 表现 出 如 下 特性 : 

(1) 数据 实时 采集 。 具 有 明显 实效 特征 。 物 联网 中 通过 对 物理 世界 信息 的 实时 采集 ， 
基于 所 采集 数据 进行 分 析 处 理 后 ,进行 快速 的 反馈 和 管理 ,具有 明显 的 实效 性 特征 ,这 就 对 
应 用 层 需要 对 信息 进行 快速 处 理 提出 了 要 求 。 

(2) 事件 高 度 并 发 。 具 有 不 可 预见 性 。 对 物理 世界 的 感知 往往 具有 多 个 维度 ,并 且 状 
态 处 于 不 断 变化 之 中 ,因此 会 产生 大 量 不 可 预见 的 事件 ,从 而 要 求 物 联网 应 用 层 具有 更 高 的 
适应 能 力 。 

(3) 基于 海量 数据 的 分 析 挖掘 感知 层 信息 的 实时 采集 特性 决定 了 必然 产生 海量 的 数 
据 , 这 除了 存储 要 求 之 外 ,更 为 重要 的 是 基于 这 些 海量 数据 的 分 析 挖 掘 , 预 判 未 来 的 发 展 趋 
势 ,才能 实现 实时 的 精准 控制 和 决策 支撑 。 

(4) 自主 智能 协同 物 联网 感知 事件 的 实时 性 和 并 发 性 ,需要 应 对 大 量 事件 应 用 的 自动 
关联 和 即时 自主 智能 协同 ,提升 对 物 联网 世界 的 综合 管理 水 平 。 

以 上 特征 要 求 从 新 的 角度 审视 物 联网 应 用 层 的 建设 需求 ,因此 需要 针对 性 地 研究 物 联 
网 应 用 层 的 集成 .体系 架构 和 标准 规范 。 
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fo.2 Web 安全 


本 节 将 介绍 Web 结构 原理 `Web 安全 威胁 、Web 安全 分 析 和 防护 Web 应 用 安全 。 


10.2.1 Web 结构 原理 


Web 应 用 是 由 动态 脚本 编译 过 的 代码 等 组 合 而 成 。 它 通常 架设 在 Web 服务 器 上 ,用 
户 在 Web 浏览 器 上 发 送 请 求 , 这 些 请 求 使 用 HTTP 协议 ,经 过 因特网 和 企业 的 Web 应 用 
交互 ,由 Web 应 用 和 企业 后 台 的 数据 库 及 其 他 动态 内 容 通信 。 


1. Web 应 用 的 架构 


尽管 不 同 的 企业 会 有 不 同 的 Web 环境 搭建 方式 ,一 个 典型 的 Web 应 用 通常 是 标准 的 
3 层 架 构 模 型 ,如 图 10-1 所 示 。 在 这 种 最 常见 的 模型 中 ,客户 端 是 第 一 层 ; 使 用 动态 Web 
内 容 技 术 的 部 分 属于 中 间 层 ; 数据 库 是 第 3 层 。 用 户 通过 Web 浏览 器 发 送 请 求 (Request) 
给 中 间 层 ,由 中 间 层 将 用 户 的 请 求 转换 为 对 后 台数 据 的 查询 或 是 更 新 ,并 将 最 终 的 结果 在 浏 
览 器 上 展示 给 用 户 。 


1 ! 

1 1 

人 

因特网 ! ! 

et 1 | 
ee 防火 墙 ! | 、 数 据 库 
客户 域 ”| Web 服 务 器 应 用 服务 器 | “一 一 一 
(浏览 器 ) 1 (表示 层 ) (业务 逻辑 层 )!。 数据 层 

中 间 层 ! 

图 10-1 Web 应 用 通常 是 标准 的 3 层 架 构 模型 
2. Web 架构 原理 


要 保护 Web 服务 , 先 要 了 解 Web 系统 架构 ,图 10-2 是 Web 服务 的 一 般 性 结构 图 ,适用 
于 互联 网 上 的 网 站 ,也 适用 于 企业 内 网 上 的 Web 应 用 架构 。 

用 户 使 用 通用 的 Web 浏览 器 ,通过 接 入 网 络 ( 网 站 的 接 入 则 是 互联 网 ) 连 接 到 Web 服 
务 器 上 。 用 户 发 出 请 求 ,服务 器 根据 请 求 的 URL 的 地 址 连接 ,找到 对 应 的 网 页 文件 ,发 送 
给 用 户 。 网 页 文件 是 用 文本 描述 的 ,HTML/Xml 格式 ,在 用 户 浏览 器 中 有 一 个 解释 器 ,把 
这 些 文本 描述 的 页 面 恢复 成 图 文 并 茂 有 声 有 影 的 可 视 页 面 。 

通常 情况 下 ,用 户 要 访问 的 页 面 都 存在 Web 服务 器 的 某 个 固定 目录 下 ,是 一 些 html 或 
xml 文件 ,用 户 通过 页 面 上 的 超 链接 可 以 在 网 站 页 面 之 间 跳 跃 ,这 是 静态 的 网 页 。 后 来 人 们 
觉得 这 种 方式 只 能 单 向 地 给 用 户 展示 信息 ,信息 发 布 还 可 以 ,但 让 用 户 做 一 些 例如 身份 认 
证 ,投票 选举 之 类 的 事情 就 比较 麻烦 ,由 此 产生 了 动态 网 页 的 概念 。 所 谓 动态 就 是 利用 
flash、Php、asp 和 Java 等 技术 在 网 页 中 嵌入 一 些 可 运行 的 小 程序 ,用 户 浏览 器 在 解释 页 面 
时 , 遇 到 这 些小 程序 就 启动 运行 它 。Web 中 小 程序 的 应 用 也 带 来 了 安全 问题 。 
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.htmlxml 网 页 静态, 动态 和 一 一 


数据 库 _. ~、 .PHP.ASP.JSP 


> Ne a (URL) 


图 10-2 Web 结构 


10.2.2 Web 安全 威胁 
1. Web 安全 威胁 


随 着 Web 环境 在 互联 网 应 用 中 越 来 越 广泛 , 物 联 网 各 种 应 用 都 架设 在 Web 平台 上 ， 
Web 业务 的 迅速 发 展 也 引起 黑客 们 的 强烈 关注 , 接 哑 而 至 的 就 是 Web 安全 威胁 的 凸显 , 黑 
客 利用 网 站 操作 系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 
权限 , 轻 则 算 改 网 页 内 容 , 重 则 窃取 重要 内 部 数据 ,更 为 严重 的 则 是 在 网 页 中 植 人 恶意 代码 ， 
侵害 网 站 访问 者 。 这 也 使 得 越 来 越 多 的 用 户 关注 应 用 层 的 安全 问题 ,对 Web 应 用 安全 的 关 
注 度 也 逐渐 升温 。 

2. Web 安全 威胁 日 趋 严 重 的 原因 


目前 很 多 业务 都 依赖 于 互联 网 ,例如 网 络 购物 ,很 多 恶意 攻击 者 出 于 不 良 的 目的 对 
Web 服务 器 进行 攻击 ,想方设法 通过 各 种 手段 获取 他 人 的 个 人 账户 信息 谋取 利益 。 正 是 因 
为 这 样 , Web 业务 平台 最 容易 遭受 攻击 。 同 时 ,对 Web 服务 器 的 攻击 也 可 以 说 是 形 形 色 
色 、 种 类 繁多 ,常见 的 有 挂 马 .SQL 注入 、 缓 冲 区 溢出 、 嗅 探 \, 利 用 IIS 等 针对 Web Server 漏 
洞 进行 攻击 。 

一 方面 ,由 于 TCP/IP 设计 没有 考虑 安全 问题 ,这 使 得 在 网 络 上 传输 的 数据 是 没有 任何 
安全 防护 的 。 攻 击 者 可 以 利用 系统 漏洞 造成 系统 进程 缓冲 区 溢出 ,可 能 获得 或 者 提升 自己 
在 有 漏洞 的 系统 上 的 用 户 权限 来 运行 任意 程序 ,甚至 安装 和 和 运行 恶意 代码 ,窃取 机 密 数据 。 
而 应 用 层面 的 软件 在 开发 过 程 中 也 没有 过 多 考虑 到 安全 的 问题 ,这 使 得 程序 本 身 存在 很 多 
漏洞 ,诸如 缓冲 区 溢出 `SQL 注入 等 流行 的 应 用 层 攻击 ,这 些 均 属于 在 软件 研发 过 程 中 下 忽 
了 对 安全 的 考虑 所 致 。 

男 一 方面 ,用 户 对 某 些 隐秘 的 东西 带 有 强烈 的 好 奇 心 ,一 些 利 用 木马 或 病毒 程序 进行 攻 
击 的 攻击 者 ,往往 就 利用 了 用 户 的 这 种 好 奇 心理 ,将 木马 或 病毒 程序 绑 定 在 一 些 图 片 . 音 视 
频 及 免费 软件 等 文件 中 ,然后 把 这 些 文件 置 于 某 些 网 站 中 ,再 引诱 用 户 去 单 击 或 下 载运 行 。 
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或 者 通过 电子 邮件 附件 和 QQ、MSN 等 即时 聊天 软件 ,将 这 些 绑 定 了 木马 或 病毒 的 文件 发 
送 给 用 户 ,利用 用 户 的 好 奇 心理 引诱 用 户 打 开 或 运行 这 些 文件 。 


3. Web 系统 入 侵 的 危害 


Web 入 侵 造成 的 危害 很 大 ,主要 包括 : 

(1) 网 站 瘫痪 。 网 站 瘫痪 是 让 服务 中 断 。 使 用 DDoS 攻击 就 可 以 让 网 站 瘫痪 ,但 对 
Web 服务 内 部 没有 损害 ,而 网 络 入 侵 可 以 删除 文件 ,停止 进程 ,让 Web 服务 器 彻底 无 法 恢 
复 。 一 般 来 说 ,这 种 做 法 是 索要 金钱 或 恶意 竞争 的 要 挟 , 也 可 能 是 显示 他 的 技术 高 超 , 拿 你 
的 网 站 被 攻击 作为 宣传 他 的 工具 。 

(2) 自 改 网 页 。 修 改 网 站 的 页 面 显示 ,是 相对 比较 容易 的 ,也 是 公众 容易 知道 的 攻击 效 
果 。 对 于 攻击 者 来 说 ,没有 什么 实惠 好 处 ,主要 是 炫 梭 自己 ,当然 对 于 政府 等 网 站 ,形象 问题 
是 很 严重 的 。 

(3) 挂 木马 。 这 种 入 侵 对 网 站 不 产生 直接 破坏 ,而 是 对 访问 网 站 的 用 户 进行 攻击 。 挂 
木马 的 最 大 实惠 是 收集 僵尸 网 络 的 “肉鸡 ”, 一 个 知名 网 站 的 首页 传播 木马 的 速度 是 爆炸 式 
的 。 挂 木马 容易 被 网 站 管理 者 发 觉 ,XSS( 跨 站 攻击 ) 是 新 的 倾向 。 

(4) 自 改 数据 。 这 是 最 危险 的 攻击 者 , 自 改 网 站 数据 库 , 或 者 是 动态 页 面 的 控制 程序 ， 
表面 上 没有 什么 变化 ,非常 不 容易 发 觉 ,是 最 常见 的 经 济 利益 人 侵 。 数 据 算 改 的 危害 是 难以 
估量 的 ,例如 购物 网 站 可 以 修改 用 户 的 账号 金额 或 交易 记录 ,政府 审批 网 站 可 以 修改 行政 审 
批 结果 ,企业 ERP 可 以 修改 销售 订单 或 成 交 价格 。 有 人 说 采用 加 密 协 议 可 以 防止 人 侵 ,如 
https 协议 ,这 种 说 法 是 不 准确 的 。 首 先 , Web 服务 是 面向 大 众 的 ,不 可 以 完全 使 用 加 密 方 
式 , 在 企业 内 部 的 Web 服务 上 可 以 采用 ,内 部 人 员 对 加 密 方式 是 共 知 的 。 其 次 ,加密 可 以 防 
止 别人 窃听 ,但 入 侵 者 可 以 冒充 正规 用 户 ,一 样 可 以 入 侵 。 再 者 ,中间 人 劫持 "同样 可 以 窃 
听 加 密 的 通信 。 


10.2.3 防护 Web 应 用 安全 


没有 对 用 户 输入 数据 的 合法 性 进行 判断 ,使 应 用 程序 存在 安全 隐患 。 所 谓 SQL 注入 ， 
就 是 通过 把 SQL 命令 插入 到 Web 表单 递交 或 输入 域名 或 页 面 请 求 的 查询 字符 串 ,最终 达 
到 欺骗 服务 器 执行 恶意 的 SQL 命令 。 例 如 ,先前 的 很 多 影视 网 站 VIP 会 员 密码 泄露 大 多 
就 是 通过 Web 表单 递交 查询 字符 实现 的 ,这 类 表单 特别 容易 受到 SQL 注入 式 攻击 。 

SQL 注入 攻击 的 原理 本 身 非常 简单 ,相关 攻击 工具 容易 下 载 ,攻击 者 获得 权限 后 有 利 
可 图 。 这 使 得 它 成 为 最 有 效 的 、 攻 击 者 最 常 采 用 的 Web 入 侵 手 段 ,是 众多 网 站 成 为 恶意 代 
码 传播 平台 的 起 因 之 一 。 

针对 这 一 攻击 手段 ,安全 专家 认为 ,最 根本 的 措施 是 对 Web 应 用 的 用 户 输入 进行 过 滤 。 
并 针对 Web 应 用 的 基本 特性 ,对 Web 应 用 的 整体 安全 工作 采取 以 下 具体 措施 : 

(1) Web 应 用 安全 评估 。 结 合 应 用 的 开发 周期 ,通过 安全 扫描 \ 人 工 检查 ,渗透 测试 、 代 
码 审计 和 架构 分 析 等 方法 ,全 面 发 现 Web 应 用 本 身 的 脆弱 性 及 系统 架构 导致 的 安全 问题 。 
应 用 程序 的 安全 问题 可 能 是 软件 生命 周期 的 各 个 阶段 产生 的 ,其 各 个 阶段 可 能 会 影响 系统 
安全 。 

(2) Web 应 用 安全 加 固 。 对 应 用 代码 及 其 中 间 件 ,数据 库 、 操 作 系 统 进行 加 固 ,并 改善 
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其 应 用 部 署 的 合理 性 。 从 补丁 .管理 接口 .账号 权限 ,文件 权限 .通信 加 密 和 日 志 审核 等 方面 
对 应 用 支持 环境 和 应 用 模块 间 部 署 方式 划分 的 安全 性 进行 增强 。 

(3) 对 外 部 威胁 的 过 滤 。 通 过 部 署 Web 防火 墙 IPS 等 设备 ,监控 并 过 滤 恶意 的 外 部 访 
问 ,并 对 恶意 访问 进行 统计 记录 ,作为 安全 工作 决策 及 处 置 的 依据 。 

(4) Web 安全 状态 检测 。 持 续 地 检测 被 保护 应 用 页 面 的 当前 状态 ,判断 页 面 是 否 被 攻 
击 者 加 入 恶意 代码 。 同 时 通过 检测 Web 访问 日 志 及 Web 程序 的 存放 目录 ,检测 是 否 存在 
文件 算 改 及 是 否 被 加 入 Web Shell 一 类 的 网 页 后 门 。 

(5) 事件 应 急 响 应 。 提 前 做 好 发 生 几 率 较 大 的 安全 事件 的 预案 及 演练 工作 ,力争 以 最 
高 效 、 最 合理 的 方式 申报 并 处 置 安全 事件 ,并 整理 总 结 。 

(6) 安全 知识 培训 。 让 开发 和 运 维 人 员 了 解 并 掌握 相关 知识 ,在 系统 的 建设 阶段 和 运 
维 阶段 同步 考虑 安全 问题 ,在 应 用 发 布 前 最 大 程度 地 减少 脆弱 点 。 

在 现在 和 将 来 ,由 于 受 互联 网 地 下 黑色 产业 链 中 盗 取 用 户 账号 及 虚拟 财产 等 行为 的 利 
益 驱动 ,攻击 者 仍 将 Web 应 用 作为 传播 木马 等 恶意 程序 的 主要 手段 。 尽 管 这 会 对 广大 的 运 
维 人 员 和 安全 工作 者 造成 很 大 的 工作 压力 ,但 是 通过 持续 不 断 地 执行 并 改进 相关 安全 措施 ， 
可 以 最 大 限度 地 保障 Web 应 用 的 安全 ,将 关键 系统 可 能 发 生 的 风险 控制 在 可 接受 的 范围 
之 内 


(i0,3 中 间 件 安全 


本 节 将 介绍 中 间 件 的 基本 概念 , 物 联网 中 间 件 和 RFID 中 间 件 安全 技术 。 


10.3.1 中 间 件 
1. 中 间 件 定义 


中 间 件 是 一 类 独立 的 系统 软件 或 服务 程序 ,分 布 式 应 用 软件 借助 这 种 软件 在 不 同 的 技 
术 之 间 共 享 资 源 。 中 间 件 位 于 客户 端 /服务 器 的 操作 系统 之 上 ,管理 计算 机 资源 和 网 络 通 
信 ,是 连接 两 个 独立 应 用 程序 或 独立 系统 的 软件 。 相 连接 的 系统 ,即使 它们 具有 不 同 的 接 
口 ,但 通过 中 间 件 相互 之 间 仍 能 交换 信息 。 执 行 中 间 件 的 一 个 关键 途径 是 信息 传递 。 通 过 
中 间 件 ,应 用 程序 可 以 工作 于 多 平台 或 OS 环境 。 

中 间 件 是 一 类 连接 软件 组 件 和 应 用 的 计算 机 软件 , 它 包括 一 组 服务 ,以 便于 运行 在 一 台 
或 多 台 计 算 机 上 的 多 个 软件 通过 网 络 进行 交互 。 该 技术 所 提供 的 互 操 作 性 推动 了 一 致 分 布 
式 体系 架构 的 演进 。 该 架构 通常 用 于 支持 分 布 式 应 用 程序 并 简化 其 复杂 度 ,包括 Web 服务 
器 .事务 监控 器 和 消息 队列 软件 。 

为 解决 分 布 异 构 问 题 , 提 出 了 中 间 件 (Middleware) 的 概 
念 。 中 间 件 是 位 于 平台 (硬件 和 操作 系统 ) 和 应 用 之 间 的 通用 中 间 件 
服务 ,如 图 10-3 所 示 , 这 些 服务 具有 标准 的 程序 接口 和 协议 。 
针对 不 同 的 操作 系统 和 硬件 平台 ,它们 可 以 有 符合 接口 和 协议 Le .| 操作 系统 
规范 的 多 种 实现 。 加 伞 和 人 

用 户 在 使 用 中 间 件 时 ,往往 是 一 组 中 间 件 集成 在 一 起 , 构 图 10-3 中 间 件 
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成 一 个 平台 (包括 开发 平台 和 运行 平台 )。 但 在 这 组 中 间 件 中 必须 要 有 一 个 通信 中 间 件 , 即 
“中 间 件 = 平台 十 通信 ”, 这 个 定义 也 限定 了 只 有 用 于 分 布 式 系统 中 才能 称 为 中 间 件 ,同时 还 
可 以 把 它 与 支撑 软件 和 实用 软件 区 分 开 来 。 

具体 地 说 ,中 间 件 屏蔽 了 底层 操作 系统 的 复杂 性 ,使 程序 开发 人 员 面 对 一 个 简单 而 统一 
的 开发 环境 ,减少 程序 设计 的 复杂 性 ,将 注意 力 集中 在 自己 的 业务 上 ,不 必 再 为 程序 在 不 同 
系统 软件 上 的 移植 而 重复 工作 ,大 大 减少 了 技术 上 的 负担 。 中 间 件 带 给 应 用 系统 的 ,不 只 是 
开发 的 简便 、 开 发 周期 的 缩短 ,也 减少 了 系统 的 维护 、 运 行 和 管理 的 工作 量 ,还 减少 了 计算 机 
总 体 费用 的 投入 。 


2. 中 间 件 的 分 类 


按照 IDC 的 定义 ,中 间 件 是 一 类 软件 ,而 非 一 种 软件 。 中 间 件 不 仅仅 实现 互 连 ,还 要 实 
现 应 用 之 间 的 互 操作 。 中 间 件 是 基于 分 布 式 处 理 的 软件 ,最 突出 的 特点 是 其 网 络 通信 功能 。 
主要 类 型 包括 : 

(1) 屏幕 转换 及 仿真 中 间 件 。 应 用 于 早期 的 大 型 机 系统 ,主要 功能 是 将 终端 机 的 字符 
界面 转换 为 图 形 界面 ,目前 此 类 中 间 件 在 国内 已 没有 应 用 市 场 。 

(2) 数据 库 访问 中 间 件 。 用 于 连接 客户 端 到 数据 库 的 中 间 件 产品 。 早 期 ,由 于 用 户 使 
用 的 数据 库 产 品 单一 ,因此 该 中 间 件 一 般 巾 数据 库 厂 商 直 接 提 供 。 目 前 正在 逐渐 被 为 解决 
不 同 品牌 数据 库 之 间 格 式 差 异 而 开发 的 多 数据 库 访问 中 间 件 取代 。 

(3) 消息 中 间 件 。 连 接 不 同 应 用 之 间 的 通信 ,将 不 同 的 通信 格式 转换 成 同一 格式 。 

(4) 交易 中 间 件 。 为 保持 终端 与 后 台 服 务 器 数据 的 一 致 性 而 开发 的 中 间 件 。 是 应 用 集 
成 的 基础 软件 ,目前 正 处 于 高 速 发 展期 。 

(5) 应 用 服务 器 中 间 件 。 功 能 与 交易 中 间 件 类 似 , 但 主要 应 用 于 互联 网 环境 。 随 着 互 
联网 的 快速 发 展 , 其 市 场 开始 逐渐 启动 并 快速 发 展 。 

(6) 安全 中 间 件 。 为 网 络 安全 而 开发 的 一 种 软件 产品 。 


10.3.2 物 联网 中 间 件 
1. RFID 中 间 件 定义 


RFID 中 间 件 扮演 RFID 标签 和 应 用 程序 之 间 的 中 介 和 角色 ,从 应 用 程序 端 使 用 中 间 件 所 
提供 一 组 通用 的 应 用 程序 接口 (APD , 即 能 连 到 RFID 读 写 器 , 读 取 RFID 标签 数据 。 这 样 
一 来 ,即使 存储 RFID 标签 情报 的 数据 库 软件 或 后 端 应 用 程序 增加 或 改 由 其 他 软件 取代 ,或 
者 读 写 RFID 读 写 器 种 类 增加 等 情况 发 生 时 ,应 用 端 不 需 修 改 也 能 处 理 , 省 去 了 多 对 多 连接 
的 维护 复杂 性 问题 。 


2. RFID 中 间 件 原理 


RFID 中 间 件 是 一 种 面向 消息 的 中 间 件 (Message-Oriented Middleware, MOM) ,信息 
(Information) 是 以 消息 (Message) 的 形式 从 一 个 程序 传送 到 另 一 个 或 多 个 程序 。 信 息 可 以 
以 异步 (Asynchronous) 的 方式 传送 ,所 以 传送 者 不 必 等 待 回应 。 面 向 消息 的 中 间 件 包含 的 
功能 不 仅 是 传递 (Passing) 信 息 ,还 必须 包括 解 译 数据 安全 性 数据 广播 .错误 恢复 、 定 位 网 
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络 资源 、 找 出 符合 成 本 的 路 径 、 消 息 与 要 求 的 优先 次 序 以 及 延伸 的 除 错 工具 等 服务 。 
3. RFID 中 间 件 分 类 


RFID 中 间 件 可 以 从 架构 上 分 为 两 种 : 

(1) 以 应 用 程序 为 中 心 (Application Centric)。 这 种 设计 概念 是 通过 RFID Reader 厂 
商 提 供 的 API, 以 Hot Code 方式 直接 编写 特定 Reader 读 取 数 据 的 Adapter, 并 传送 至 后 端 
系统 的 应 用 程序 或 数据 库 , 从 而 达成 与 后 端 系统 或 服务 串 接 的 目的 。 

(2) 以 软件 架构 为 中 心 (Infrastructure Centric) 。 随 着 企业 应 用 系统 的 复杂 度 增高 , 企 
业 无 法 负荷 以 Hot Code 方式 为 每 个 应 用 程序 编写 Adapter, 同 时 面 对 对 象 标准 化 等 问题 ， 
企业 可 以 考虑 采用 厂商 所 提供 的 标准 规格 RFID 中 间 件 。 这 样 一 来 ,即使 存储 RFID 标签 
情报 的 数据 库 软 件 改 由 其 他 软件 代替 ,或 读 写 RFID 标签 的 RFID Reader 种 类 增加 等 情况 
发 生 时 ,应 用 端 不 修改 也 能 应 付 。 


4. RFID 中 间 件 的 特点 


(1) 独立 于 架构 。RFID 中 间 件 独立 并 介 于 RFID 读 写 器 与 后 端 应 用 程序 之 间 , 并 且 能 
够 与 多 个 RFID 读 写 器 以 及 多 个 后 端 应 用 程序 连接 ,以 减轻 架构 与 维护 的 复杂 性 。 

(2) 数据 流 。RFID 的 主要 目的 在 于 将 实体 对 象 转换 为 信息 环境 下 的 虚拟 对 象 ,因此 数 
据 处 理 是 RFID 最 重要 的 功能 。RFID 中 间 件 具有 数据 的 搜集 .过 滤 .整合 与 传递 等 特性 ,以 
便 将 正确 的 对 象 信息 传 到 企业 后 端的 应 用 系统 。 

(3) 处 理 流 。RFID 中 间 件 采用 程序 逻辑 及 存储 再 转送 的 功能 来 提供 顺序 的 消息 流 , 具 
有 数据 流 设计 与 管理 的 能 力 。 

(4) 标准 。RFID 为 自动 数据 采样 技术 与 辨识 实体 对 象 的 应 用 。EPC global 目前 正在 
研究 为 各 种 产品 的 全 球 唯一 识别 号 码 提出 通用 标准 , 即 EPC( 产 品 电 子 编码 )。EPC 是 在 供 
应 链 系统 中 ,以 一 串 数字 来 识别 一 项 特定 的 商品 。 通 过 无 线 射频 辨识 标签 由 RFID 读 写 器 
读 和 后 ,传送 到 计算 机 或 是 应 用 系统 中 的 过 程 称 为 对 象 命名 服务 。 对 象 命名 服务 系统 会 锁 
定 计算 机 网 络 中 的 固定 点 抓 取 有 关 商 品 的 消息 。EPC 存放 在 RFID 标签 中 ,被 RFID 读 写 
器 读 出 后 , 即 可 提供 追踪 EPC 所 代表 的 物品 名 称 及 相关 信息 ,并 立即 识别 及 分 享 供应 链 中 
的 物品 数据 ,有 效率 地 提供 信息 透明 度 。 


5. RFID 中 间 件 的 3 个 发 展 阶段 


从 发 展 趋势 看 ,RFID 中 间 件 可 分 为 3 个 发 展 阶段 : 

(1) 应 用 程序 中 间 件 发 展 阶段 。RFID 初期 的 发 展 多 以 整合 . 串 接 RFID 读 写 器 为 目 
的 ,这 个 阶段 多 为 RFID 读 写 器 厂商 主动 提供 简单 API, 以 供 企业 将 后 端 系统 与 RFID 读 写 
器 串 接 。 从 整体 发 展架 构 来 看 ,此 时 企业 的 导入 必须 自行 花费 许多 成 本 去 处 理 前 后 端 系统 
连接 的 问题 ,通常 企业 在 本 阶段 会 通过 试点 工程 方式 来 评估 成 本 效益 与 导入 的 关键 议题 。 

(2) 架构 中 间 件 发 展 阶段 。 这 个 阶段 是 RFID 中 间 件 成 长 的 关键 阶段 。 由 于 RFID 的 
强大 应 用 ,沃尔玛 与 美国 国防 部 等 关键 使 用 者 相继 进行 RFID 技术 的 规划 并 进行 导入 的 试 
点 工程 ,促使 各 国际 大 厂 持 续 关 注 RFID 相关 市 场 的 发 展 。 本 阶段 RFID 中 间 件 的 发 展 不 
但 已 经 具备 基本 数据 搜集 、 过 滤 等 功能 ,同时 也 满足 企业 多 对 多 的 连接 需求 ,并 具备 平台 的 
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管理 与 维护 功能 。 

(3) 解决 方案 中 间 件 发 展 阶段 。 未 来 在 RFID 标签 . 读 写 器 与 中 间 件 发 展 成 熟 过 程 中 ， 
各 厂商 针对 不 同 领域 提出 各 项 创新 应 用 解决 方案 ,例如 曼 哈 特 联合 软件 公司 提出 “RFID 一 
盒 方案 (RFID in a Box)”, 企 业 不 需 再 为 前 端 RFID 硬件 与 后 端 应 用 系统 的 连接 而 烦恼 。 该 
公司 与 Alien 技术 公司 在 RFID 硬件 端 合作 ,发 展 Microsoft. Net 平台 为 基础 的 中 间 件 , 针 
对 该 公司 900 家 已 有 供应 链 客户 群发 展 供应 链 执行 解决 方案 ,原本 使 用 曼 哈 特 联合 软件 公 
司 供应 链 执行 解决 方案 的 企业 只 需 通过 *RFID 一 盒 方案 ”, 就 可 以 在 原 有 应 用 系统 上 快速 
利用 RFID 来 加 强 供应 链 管理 的 透明 度 。 


6. RFID 中 间 件 的 两 个 应 用 方向 


(1) 面向 服务 的 架构 RFID 中 间 件 。 其 目标 就 是 建立 沟通 标准 ,突破 应 用 程序 对 应 用 
程序 沟通 的 障碍 ,实现 商业 流程 自动 化 ,支持 商业 模式 的 创新 ,让 IT 变 得 更 灵活 ,从 而 更 快 
地 响应 需求 。 因 此 ,RFID 中 间 件 在 未 来 发 展 上 ,将 会 以 面向 服务 的 架构 为 基础 的 趋势 , 提 
供 企业 更 弹性 灵活 的 服务 。 

(2) 安全 架构 的 RFID 中 间 件 。RFID 应 用 最 让 外 界 质疑 的 是 RFID 后 端 系统 所 连接 
的 大 量 厂商 数据 库 可 能 引发 的 商业 信息 安全 问题 ,尤其 是 消费 者 的 信息 隐私 权 。 通 过 大 量 
RFID 读 写 器 的 布置 ,人 类 的 生活 与 行为 将 因 RFID 而 容易 追踪 ,沃尔玛 ,Tesco( 英 国 最 大 零 
售 商 ) 初 期 RFID 试点 工程 都 因为 用 户 隐私 权 问 题 而 遭受 过 抵制 与 抗议 。 为 此 ,飞利浦 半 导 
体 等 厂商 已 经 开始 在 批量 生产 的 RFID 芯片 上 加 入 * 屏 项 ?功能 。RSA 信息 安全 公司 也 发 
布 了 能 成 功 干扰 RFID 信号 的 技术 “RSA Blocker 标签 ”, 通 过 发 射 无 线 射 频 扰乱 RFID 读 写 
器 ,让 RFID 读 写 器 误 以 为 搜集 到 的 是 垃圾 信息 而 错失 数据 ,达到 保护 消费 者 隐私 权 的 目 
的 。 目 前 Auto-ID 中 心 也 在 研究 安全 机 制 以 配合 RFID 中 间 件 的 工作 。 相 信安 全 将 是 
RFID 未 来 发 展 的 重点 之 一 ,也 是 成 功 的 关键 因素 。 


7. RFID 中 间 件 技术 现状 


RFID 中 间 件 被 广泛 应 用 于 RFID 系统 中 。 从 发 展 趋势 来 看 ,RFID 中 间 件 经 历 了 应 用 
程序 中 间 件 、 架 构 中 间 件 、 解 决 方案 中 间 件 3 个 发 展 阶段 。 根 据 中 间 件 作用 不 同 , 中 间 件 分 
为 5 类 : 数据 访问 中 间 件 、 远 程 过 程 调用 中 间 件 、 消 息 中 间 件 ,交易 中 间 件 和 对 象 中 间 件 。 

目前 ,国际 IT 知名 厂商 和 组 织 机 构 对 RFID 中 间 件 的 研究 与 开发 表现 出 极 大 兴趣 , 纷 
纷 加 入 到 该 软件 的 研发 ,并 提出 了 具有 各 自 特色 的 RFID 中 间 件 的 解决 方案 。SAP RFID 
中 间 件 是 采用 J2EE 企业 架构 开发 的 ,产品 系列 化 和 与 其 他 RIFD 中 间 件 产品 集成 是 其 一 大 
亮点 。BEA 公司 收购 中 间 件 技术 厂商 后 ,推出 的 BEA RFID 中 间 件 在 市 场 上 占据 着 非常 重 
要 的 位 置 ,具有 很 强 的 竞争 力 。BEA 是 从 BEA Web Logic RFID Edge Server 和 BEA Web 
Logic RFID Enterprise Server 两 个 层面 去 实现 的 。Oracle 公司 借助 其 数据 库 海 量 数据 处 
理 能 力 , 采 用 Java 语言 开发 的 RFID 中 间 件 能 与 Oracle 无 颖 集成 ,充分 发 挥 着 强大 数据 处 
理 能 力 优势 ,并 向 用 户 提 供 了 人 机 交互 配置 界面 。 微 软 RFID 中 间 件 主要 运行 于 Windows 
系列 操作 平台 ,并 打算 把 RFID 中 间 件 作为 操作 系统 的 一 部 分 与 Windows 无 颖 集成 。IBM 
RFID 中 间 件 采用 J2EE 平台 开发 .强大 的 海量 数据 处 理 能 力 深 受 零售 业 厂商 的 欢迎 ,其 产 
品 已 经 应 用 于 Metro 公司 。RFID Anywhere 是 Sybase 公司 针对 RFID 安全 问题 开发 的 
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RFID 中 间 件 产品 ,支持 新 一 代 RIFD 器 件 。Sun RFID 中 间 件 经 历 了 1.0 和 2.0 版 本 ,由 信 
息 服务 器 和 事件 管理 器 组 成 .其 产品 性 能 在 企业 实际 测试 中 不 断 完善 ,已 完全 符合 设计 需 
求 , 并 很 好 地 与 Oracle 数据 库 集 成 。 国 内 的 中 间 件 产品 与 国外 经 过 企业 测试 的 RFID 中 间 
件 产品 相 比 ,还 有 一 定 差距 。 值 得 欣喜 的 是 ,国家 863 计划 大 力 支持 无 线 射 频 关 键 技 术 研 究 
与 开发 ,国内 的 一 些 研究 机 构 和 公司 抓 住 机遇 ,提出 了 自己 的 RIFD 中 间 件 解决 方案 。 如 华 
中 科技 大 学 开发 的 Smart, 该 中 间 件 产品 支持 多 通信 平台 。 深 圳 立 格 射频 科技 有 限 公司 开 
发 的 AIT LYNKO. ALE 是 一 套 遵循 ALE 规范 的 RFID 中 间 件 解决 方案 。 上 海 交通 大 学 
开发 的 面向 物流 的 集成 中 间 件 平台 ,中 科 院 自动 化 所 开发 的 用 于 管理 血液 .药品 和 食品 的 
RFID 公共 服务 体系 。 学 术 上 ,在 制定 RFID 中 间 件 标准 方面 ,EPCglobal 组 织 走 在 了 前 列 。 
EPCglobal 发 布 的 ALE 规范 为 统一 中 间 件 标准 、 提 供 标准 服务 做 出 了 巨大 贡献 。 


10.3.3 RFID 安全 中 间 件 


物 联 网 是 一 个 在 互联 网 基础 上 结合 RFID、 传 感 器 等 技术 构建 的 连接 范围 更 为 广阔 的 
网 络 , 因 此 物 联 网 安全 问题 既 包 括 当 前 网 络 的 安全 问题 , 即 传统 安全 问题 ,又 包含 由 
RFID 和 传感器 网 络 特点 决定 的 新 型 安全 问题 , 即 物 联网 特有 的 安全 问题 。 由 于 物 联网 
感知 识别 层 中 大 量 应 用 RFID 及 无 线 传感器 ,因此 物 联网 特有 的 安全 问题 主要 是 RFID 系 
统 安全 和 无 线 传 感 器 网 络 安 全 。RFID 标签 保存 有 个 人 私密 信息 , 且 随 着 定位 技术 的 发 
展 , 如 果 REFID 标签 受到 跟踪 .定位 或 者 私密 信息 受到 窃取 ,就 会 对 用 户 的 个 人 隐私 造成 
侵害 。 


1. RFID 中 间 件 安全 设计 要 求 


RFID 中 间 件 的 设计 原则 要 遵循 功能 全 面 、 易 设计 、 易 维护 .具有 良好 的 扩展 性 和 可 移 
植 性 的 原则 。 设 计 的 中 间 件 至 少 要 解决 以 下 几 个 问题 : 

(1) 屏蔽 下 层 硬 件 ,兼容 不 同 的 RFID 阅读 器 。 不 同 厂家 生产 的 硬件 设备 在 读 取 频 率 、 
支持 协议 、 读 取 范 围 . 防 冲突 性 能 方面 有 差异 ,屏蔽 物理 设备 的 差异 ,能 方便 地 进行 集成 扩 
展 ,是 RFID 中 间 件 应 具有 的 特点 。 

(2) 对 硬件 设备 进行 统一 管理 。 包 括 关 闭 、 打 开 、 获 取 设 备 参数 、 发 出 读 取 命 令 .缓存 标 
签 .定义 逻辑 阅读 器 等 ,使 上 层 感觉 不 到 设备 的 差异 ,提供 透明 服务 。 

(3) 对 大 规模 的 数据 流 进行 过 滤 和 分 组 。 采 用 一 些 算法 和 数据 结构 剔除 掉 用 户 不 感 兴 
趣 的 、 重 复 的 、 无 规则 的 数据 ,否则 ,大 量 的 数据 流入 上 层 , 对 企业 应 用 程序 会 是 一 个 沉重 的 
负担 ,甚至 造成 上 层 应 用 程序 崩溃 。 

(4) 数据 接收 和 数据 格式 转换 。 中 间 件 要 接收 来 自 RFID 设备 的 标签 数据 ,并 向 上 层 
传输 。 由 于 数据 标签 编码 方式 多 种 多 样 ,规范 标准 不 统一 , 若 不 进行 数据 格式 处 理 ,会 造成 
数据 混乱 ,难以 识别 。 

(5) 中 间 件 的 安全 问题 日 益 突出 ,电子 标签 的 安全 和 隐私 问题 成 为 急需 解决 的 问题 ,已 
经 制约 着 EPC 技术 的 发 展 和 应 用 。RFID 系统 在 进行 数据 采集 ,数据 传输 时 ,电子 标签 和 阅 
读 器 容易 受到 信号 的 干扰 ,再 加 上 电子 标签 容易 被 追踪 和 定位 ,侵犯 他 人 隐私 ,安全 问题 难 
以 避免 。 中 间 件 如 何 提供 一 个 安全 可 靠 的 服务 是 本 文 关注 的 重点 。 

(6) 与 企业 应 用 程序 的 通信 交互 。 企 业 应 用 程序 定制 自己 感 兴趣 的 数据 格式 ,采用 何 
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种 方式 与 中 间 件 进行 交互 ,如 何 高 效 地 实现 中 间 件 与 应 用 程序 之 间 的 数据 交换 ,也 是 中 间 件 
需要 解决 的 重要 问题 。 


2. 通用 中 间 件 安全 模型 


学 者 吴 景 阳 和 址 国庆 在 《计算 机 工程 与 科学 》(2006 年 第 28 卷 第 1 期 ) 上 发 表 文 章 , 设 
计 了 一 种 通用 中 间 件 安全 模型 。 从 中 间 件 层 的 特点 来 看 ,访问 控制 的 实现 依赖 于 引用 监视 
器 (Reference Monitor) 及 访问 策略 的 位 置 和 实施 。 因 此 ,可 根据 安全 逻辑 的 实现 ,将 引用 监 
视 器 的 功能 分 成 两 部 分 : 

(1) 决策 功能 。 这 个 模块 根据 访问 策略 来 决定 一 个 主体 是 否 有 权力 来 访问 它 所 请 求 的 
客体 资源 ,采用 的 决策 机 制 可 以 是 自主 访问 控制 (DAC) ,也 可 以 是 强制 访问 控制 (MAC) ,或 
是 其 他 的 机 制 ,非常 灵活 。 

(2) 执行 功能 。 这 个 模块 接受 主体 的 访问 请 求 , 该 请 求 则 是 通过 底层 技术 层 传递 过 来 
的 ,由 执行 功能 模块 负责 将 此 请 求 传 递 给 中 间 件 层 中 的 决策 功能 模块 ,由 该 模块 返回 访问 决 
策 。 而 执行 功能 模块 根据 此 决策 来 执行 相应 的 动作 ,如 果 访 问 被 许可 , 则 按照 访问 请 求 的 要 
求 将 主体 的 请 求 信 息 传递 给 目标 对 象 。 如 果 需 要 的 话 , 可 能 还 要 调用 中 间 件 其 他 的 部 件 , 执 
行 某 些 特定 的 功能 ,如 事务 处 理 ,数据库 调用 等 。 

模型 示意 图 如 图 10-4 所 示 。 从 图 10-4 中 还 看 到 ,决策 功能 模块 给 目标 对 象 提供 了 接 
口 用 于 目标 对 象 的 注册 ,这 是 由 应 用 层 对 象 调用 的 ,用 于 获得 目标 对 象 的 相关 信息 ,从 而 提 
供给 安全 策略 以 辅助 决策 功能 模块 的 实现 。 这 个 接口 的 实现 一 方面 有 效 地 解决 了 对 于 应 用 
层 目标 对 象 特 定 信息 的 访问 控制 , 另 一 方面 也 是 该 模型 对 于 应 用 层 灵活 性 的 体现 ,可 以 很 容 
易 地 满足 不 同 应 用 中 不 同 目标 对 象 所 要 求 的 安全 控制 。 
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目标 对 象 


目标 对 象 ” 一 一 一 一 一 一 9 


目标 对 象 注册 
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访 上 访问 决定 
网 | “执行 功能 模块 决策 功能 模块 
制 HE 请 求 
EE 
下 辣 件 安全 子 系 统 
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中 间 件 层 


访问 请 求 | 


图 10-4 通用 中 间 件 安全 模型 


3. 物 联网 中 间 件 安全 模型 


学 者 姚 远 在 (电脑 知识 与 技术 》(2011 年 1 月 第 7 卷 ) 上 发 表 文章 ,提出 了 基于 中 间 件 的 
物 联 网 安全 模型 。 他 认为 物 联 网 安全 问题 要 进行 3 方面 的 保护 : 存储 信息 安全 问题 ,传输 
安全 问题 ( 防 窃取 ) 和 设备 安全 问题 ( 防 破解 和 攻击 ) 。 
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1) 中 间 件 框图 
一 般 来 说 ,中 间 件 的 设计 遵循 整体 的 分 层 原 则 , 先 看 中 间 件 的 设计 框图 ,如 图 10-5 
所 示 。 


RFID 应 用 系统 
或 通信 集中 器 应 用 系统 
物 联网 中 间 件 统一 业务 层 : 
通信 接口 层 、 控 制 接口 层 、 资 源 访问 接口 层 、 授 权 认证 接口 层 、 
硬件 属性 读 取 接 口 层 、 平 台 属性 及 控制 接口 层 等 
Platform Hardware Network 有 二 
Si Library SDK | | Library SDK | | Library SDK Plogins App oe 
Application 
Manager 
Control Ei Hardware 
Library 中 间 件 安全 沙 箱 Library i 
SDK SDK 
物 联网 中 间 件 移植 层 
RTOS/Linux/Windows CE 等 系统 或 无 操作 系统 
及 各 种 驱动 程序 等 软件 资源 
ARM | si 单片机 | ARM7/9 PowerPC ， || AvR 单 片 机 | DsP 其 他 硬件 
Contex-M3 ! 通信 处 理 器 ' 和 


图 10-5 ”中间 件 框图 


由 下 至 上 第 一 层 , 是 各 种 设备 中 不 同 的 硬件 基础 ,此 部 分 的 差异 极 大 ,从 低 端的 单片机 
到 高 端的 DSP 数字 信号 处 理 器 或 PowerPC 通信 处 理 器 都 会 存在 。 

由 下 至 上 第 二 层 , 是 运行 于 各 种 硬件 之 上 的 软件 环境 ,此 部 分 一 般 差 异 较 硬件 部 分 要 
小 ,通常 由 各 种 RTOS 系统 组 成 ,其 功能 类 似 。 也 有 部 分 是 无 操作 系统 的 软件 环境 。 

中 间 最 大 一 块 区 域 是 中 间 件 的 实际 范围 。 

(1) 移植 层 用 以 屏蔽 底层 差异 ,实现 中 间 件 的 统一 实施 接口 ,同时 也 是 平台 主要 能 力 的 
体现 接口 。 一 般 来 说 ,移植 层 各 种 软 硬 件 分 别 实现 各 自 不 同 的 功能 ,其 接口 包括 线程 或 任务 
移植 接口 .显示 移植 接口 .网络 和 通信 移植 接口 .平台 控制 和 属性 移植 接口 、RFID 读 写 移植 
接口 等 。 

(2) 基于 该 移植 层 ,是 中 间 件 中 的 关键 模块 中 间 件 安全 沙 箱 , 其 内 部 包含 多 种 执行 模 
块 ,如 RFID 模块 .通信 模块 和 硬件 控制 模块 等 ,所 有 的 模块 统一 位 于 一 个 安全 沙 箱 中 。 该 
安全 沙 箱 可 以 保证 通信 协议 和 远程 控制 对 本 地 资源 的 安全 访问 。 

(3) 中 间 件 的 最 上 层 是 业务 开发 层 , 该 层 提供 给 本 地 或 远程 应 用 程序 ,调用 以 实现 相应 
的 业务 功能 。 其 接口 设计 一 般 包含 物 联网 设备 的 控制 ,信息 读 写 、 通 信 、 显 示 、 授 权 认 证 等 通 
用 接口 ,并 将 这 些 模 块 的 实现 映射 到 安全 沙 箱 中 解析 或 执行 。 
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2) 中 间 件 安全 模型 

物 联网 中 间 件 从 以 下 3 个 方面 建立 一 个 通用 的 安全 模型 : 使 用 安全 沙 箱 保证 只 有 明确 
授权 的 应 用 程序 可 以 访问 底层 资源 ; 支持 基于 SSL .TSL 和 VPN 等 加 密 通 道 传输 信息 ; 使 
用 基于 X509 证 书 的 授权 方式 保证 终端 和 设备 授权 认证 的 通过 。 

沙 箱 模型 (Sandbox) 是 一 种 保护 本 机 安全 的 虚拟 技术 。 利 用 沙 箱 技术 ,可 以 将 系统 关 
键 数据 进行 虚拟 化 映射 ,外 界 对 数据 的 获取 和 修正 首先 在 沙 箱 映射 层 中 实现 ,只 有 经 过 严格 
授权 的 请 求 才 会 访问 底层 实际 硬件 和 资源 ,从 而 保证 了 设备 本 身 不 会 因为 受到 病毒 或 恶意 
程序 的 攻击 而 崩溃 。 中 间 件 中 使 用 此 模型 , 则 通过 远程 调用 或 通信 协议 执行 的 一 般 信 令 ,不 
可 能 访问 真正 的 设备 系统 资源 。 但 由 于 沙 箱 中 的 关键 数据 和 系统 中 的 数据 时 刻 保 持 同步 ， 
此 模型 并 不 会 影响 获取 数据 的 实时 性 。 

中 间 件 支持 通过 插件 (Plugins) 模 式 挂 接 不 同 的 通信 适 配 组 件 , 如 SSL 安全 层 或 TSL 
传输 安全 层 ,也 可 以 配置 其 挂 载 VPN( 如 IPsec) 通 道 ,实现 数据 的 安全 传输 。 传 统 的 网 络 层 
加 密 机 制 是 逐 跳 加 密 , 即 信息 在 发 送 过 程 中 和 传输 过 程 中 是 加 密 的 ,但 在 每 个 节 表 关 联 。 


(i0,4 数据 安全 


本 节 将 介绍 数据 安全 的 基本 概念 ,数据 保护 技术 数据 库 安全 技术 、 虚 拟 化 数据 安全 技 
术 和 数据 容 灾 技 术 。 


10.4.1 数据 安全 概述 
1. 数据 安全 的 定义 


信息 安全 或 数据 安全 有 对 立 的 两 方面 的 含义 : 一 是 数据 本 身 的 安全 ,主要 是 指 采用 现 
代 密 码 算法 对 数据 进行 主动 保护 ,如 数据 保密 、 数 据 完整 性 和 双向 强身 份 认证 等 ; 二 是 数据 
防护 的 安全 ,主要 是 采用 现代 信息 存储 手段 对 数据 进行 主动 防护 ,如 通过 磁盘 阵列 数据 备 
份 和 异地 容 灾 等 手段 保证 数据 的 安全 。 数 据 安全 是 一 种 主动 的 包含 措施 ,数据 本 身 的 安全 
必须 基于 可 靠 的 加 密 算法 与 安全 体系 ,主要 有 对 称 算法 与 公开 密 钥 密码 体系 两 种 。 

数据 处 理 安全 是 指 如 何 有 效 地 防止 数据 在 录入 、 处 理 、 统 计 或 打印 中 ,由 于 硬件 故障 . 断 
电 、 死 机 、 人 为 的 误 操作 ,程序 缺陷 、 病 毒 或 黑客 等 造成 的 数据 库 损坏 或 数据 丢失 现象 , 某 些 
敏感 或 保密 的 数据 可 能 被 不 具备 资格 的 人 员 或 操作 员 阅 读 ,从 而 造成 数据 泄密 等 后 果 。 

数据 存储 安全 是 指数 据 库 在 系统 运行 之 外 的 可 读 性 。 一 个 标准 的 Access 数据 库 ,稍微 
懂得 一 些 基本 方法 的 计算 机 人 员 都 可 以 打开 阅读 或 修改 。 一 旦 数据 库 被 盗 , 即 使 没有 原来 
的 系统 程序 ,照样 可 以 另外 编写 程序 对 盗 取 的 数据 库 进行 查看 或 修改 。 从 这 个 角度 说 ,不 加 
密 的 数据 库 是 不 安全 的 ,容易 造成 商业 泄密 。 这 就 涉及 了 计算 机 网 络 通信 的 保密 ,安全 及 软 
件 保护 等 问题 。 


2. 信息 安全 的 基本 特点 


(1) 机 密 性 。 机 密 性 又 称 为 保密 性 (Secrecy) ,是 指 个 人 或 团体 的 信息 不 为 其 他 不 应 获 
得 者 获得 。 在 计算 机 中 ,许多 软件 包括 邮件 软件 、 网 络 浏览 器 等 ,都 有 保密 性 相关 的 设 定 ,用 


325 


™ 


物 联 网 安全 教程 


以 维护 用 户 资讯 的 保密 性 。 另 外 ,间谍 档案 或 黑客 有 可 能 会 造成 保密 性 的 问题 。 

(2) 完整 性 。 数 据 完整 性 是 信息 安全 的 3 个 基本 要 点 之 一 , 指 在 传输 ,存储 信息 或 数据 
的 过 程 中 ,确保 信息 或 数据 不 被 未 授权 的 自 改 或 在 自 改 后 能 够 被 迅速 发 现 。 在 信息 安全 领 
域 使 用 过 程 中 ,常常 和 保密 性 边界 混淆 。 以 普通 RSA 对 数值 信息 加 密 为 例 , 黑 客 或 恶意 用 
户 在 没有 获得 密 钥 破解 密 文 的 情况 下 ,可 以 通过 对 密 文 进行 线性 运算 ,相应 改变 数值 信息 的 
值 。 例 如 交易 金额 为 X 元 ,通过 对 密 文 乘 以 2, 可 以 使 交易 金额 成 为 2X, 也 称 为 可 延展 性 。 
为 解决 以 上 问题 ,通常 使 用 数字 签名 或 散 列 函 数 对 密 文 进行 保护 。 

(3) 可 用 性 。 数 据 可 用 性 是 一 种 以 使 用 者 为 中 心 的 设计 概念 , 易 用 人 性 设计 的 重点 在 于 
让 产品 的 设计 能 够 符合 使 用 者 的 习惯 与 需求 。 以 互联 网 网 站 的 设计 为 例 , 希 望 让 使 用 者 
在 浏览 的 过 程 中 不 会 产生 压力 或 感到 挫折 ,并 能 让 使 用 者 在 使 用 网 站 功能 时 ,能 用 最 少 
的 努力 发 挥 最 大 的 效能 。 基 于 这 个 原因 ,任何 有 违 信 息 的 “可 用 性 ”都 算是 违反 信息 安全 
的 规定 。 因 此 ,世界 上 不 少 国家 ,不 论 是 美国 还 是 中 国都 有 要 求 保持 信息 可 以 不 受 规 限 
地 流通 。 

对 信息 安全 的 认识 经 历 了 数据 安全 阶段 (强调 保密 通信 ) 、 网 络 信息 安全 时 代 ( 强 调 网 络 
环境 ) 和 信息 保障 时 代 ( 强 调 不 能 被 动 地 保护 ,需要 有 保护 一 检测 一 反应 一 恢复 4 个 环节 )。 


3. 威胁 数据 安全 的 主要 因素 


威胁 数据 安全 的 因素 有 很 多 ,以 下 几 个 比较 常见 : 

(1) 硬盘 驱动 器 损坏 。 一 个 硬盘 驱动 器 的 物理 损坏 意味 着 数据 丢失 。 设 备 的 运行 损 
耗 , 存 储 介质 失效 ,运行 环境 以 及 人 为 的 破坏 等 都 能 给 硬盘 驱动 器 设备 造成 影响 。 

(2) 人 为 错误 。 由 于 操作 失误 ,使 用 者 可 能 会 误 删 除 系统 的 重要 文件 ,或 者 修改 影响 系 
统 运行 的 参数 ,以 及 没有 按照 规定 要 求 或 操作 不 当 导 致 的 系统 宕 机 。 

(3) 黑客 。 入 侵 者 通过 网 络 远 程 人 侵 系 统 , 侵 入 形式 包括 系统 漏洞 .管理 不 力 等 。 

(4) 病毒 。 由 于 感染 计算 机 病毒 而 破坏 计算 机 系统 ,造成 的 重大 经 济 损失 屡屡 发 生 , 计 
算 机 病毒 的 复制 能 力 强 , 感 染 性 强 , 特 别 是 网 络 环境 下 ,传播 性 更 快 。 

(5) 信息 窃取 。 从 计算 机 上 复制 ,删除 信息 或 干脆 把 计算 机 偷 走 。 

(6) 自然 灾害 。 地 震 、 火 山 爆发 ,泥石流 海啸、 台风 和 洪水 等 突 发 性 灾害 。 

(7) 电源 故障 。 电 源 供给 系统 故障 ,一 个 瞬间 过 载 电 功率 会 损坏 在 硬盘 或 存储 设备 上 
的 数据 。 

(8) 磁 干 扰 。 磁 干扰 是 指 重要 的 数据 接触 到 有 磁性 的 物质 ,会 造成 计算 机 数据 被 破坏 。 


4. 数据 安全 的 防护 技术 


计算 机 存储 的 信息 越 来 越 多 ,而 且 越 来 越 重 要 ,为 防止 计算 机 中 的 数据 意外 丢失 ,一 般 
都 采用 许多 重要 的 安全 防护 技术 来 确保 数据 的 安全 。 下 面 简单 的 介绍 常用 和 流行 的 数据 安 
全 防护 技术 : 

1) 磁盘 阵列 

磁盘 阵列 是 指 把 多 个 类 型 容量 .接口 甚至 品牌 一 致 的 专用 磁盘 或 普通 硬盘 连 成 一 个 阵 
列 , 使 其 以 更 快 的 速度 、 准 确 、 安 全 的 方式 读 写 磁 盘 数 据 , 从 而 达到 数据 读 取 速 度 和 安全 性 的 
一 种 手段 。 
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2) 数据 备份 

备份 管理 包括 备份 的 可 计划 性 ,自动 化 操作 ,历史 记录 的 保存 或 日 志 记录 。 

3) 双 机 容错 

双 机 容错 的 目的 在 于 保证 系统 数据 和 服务 的 在 线性 , 即 当 某 一 系统 发 生 故 障 时 ,仍然 能 
够 正常 地 向 网 络 系统 提供 数据 和 服务 ,使 系统 不 至 于 停顿 。 双 机 容错 的 目的 在 于 保证 数据 
不 丢失 和 系统 不 停机 。 

4) NAS 

NAS 解决 方案 通常 配置 为 文件 服务 的 设备 ,由 工作 站 或 服务 器 通过 网 络 协议 和 应 用 程 
序 来 进行 文件 访问 ,大 多 数 NAS 链接 在 工作 站 客户 机 和 NAS 文件 共享 设备 之 间 进 行 。 这 
些 链接 依赖 于 企业 的 网 络 基础 设施 来 正常 运行 。 

5) 数据 迁移 

由 在 线 存 储 设备 和 离线 存储 设备 共同 构成 协调 工作 存储 系统 ,该 系统 在 在 线 存 储 和 离 
线 存 储 设备 间 动态 地 管理 数据 ,使 得 访问 频率 高 的 数据 存放 于 性 能 较 高 的 在 线 存储 设备 中 ， 
而 访问 频率 低 的 数据 存放 于 较为 廉价 的 离线 存储 设备 中 。 

6) 异地 容 灾 

以 异地 实时 备份 为 基础 的 高 效 、 可 靠 的 远程 数据 存储 。 在 各 单位 的 IT 系统 中 ,必然 有 
核心 部 分 ,通常 称 为 生产 中 心 ,往往 给 生产 中 心 配备 一 个 备份 中 心 ,该 备份 中 心 是 远程 的 ,并 
且 在 生产 中 心 的 内 部 已 经 实施 了 各 种 各 样 的 数据 保护 。 不 管 怎 么 保护 , 当 火 灾 、 地 震 这 种 灾 
难 发 生 时 ,一 旦 生产 中 心 瘫痪 了 ,备份 中 心 会 接管 生产 ,继续 提供 服务 。 

7) SAN 

SAN 允许 服务 器 在 共享 存储 装置 的 同时 仍 能 高 速 传 送 数 据 。 这 一 方案 具有 带宽 高 可 
用 性 高 ,容错 能 力 强 的 优点 ,而 且 它 可 以 轻松 升级 ,容易 管理 ,有 助 于 改善 整个 系统 的 总 体 成 
本 状况 。 


10.4.2 数据 保护 


从 保护 数据 的 角度 讲 , 对 数据 安全 这 个 广义 概念 ,可 以 细 分 为 3 个 部 分 : 数据 加 密 、 数 
据 传输 安全 和 身份 认证 管理 。 


1. 数据 加 密 


数据 加 密 就 是 按照 确定 的 密码 算法 把 敏感 的 明文 数据 变换 成 难以 识别 的 密 文 数 据 , 通 
过 使 用 不 同 的 密 钥 ,可 用 同一 加 密 算法 把 同一 明文 加 密 成 不 同 的 密 文 。 当 需要 时 ,可 使 用 密 
钥 把 密 文 数据 还 原 成 明文 数据 , 称 为 解密 。 这 样 就 可 以 实现 数据 的 保密 性 。 数 据 加 密 被 公 
认为 是 保护 数据 传输 安全 唯一 实用 的 方法 和 保护 存储 数据 安全 的 有 效 方法 , 它 是 数据 保护 
在 技术 上 最 重要 的 防线 。 

数据 加 密 技术 是 最 基本 的 安全 技术 ,被 誉 为 信息 安全 的 核心 ,最 初 主要 用 于 保证 数据 在 
存储 和 传输 过 程 中 的 保密 性 。 它 通过 变换 和 置换 等 各 种 方法 将 被 保护 信息 置换 成 密 文 , 然 
后 再 进行 信息 的 存储 或 传输 ,即使 加 密 信息 在 存储 或 者 传输 过 程 中 为 非 授 权 人 员 所 获得 ,也 
可 以 保证 这 些 信 息 不 为 其 认 知 ,从 而 达到 保护 信息 的 目的 。 该 方法 的 保密 性 直接 取决 于 所 
采用 的 密码 算法 和 密 钥 长 度 。 
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根据 密 钥 类 型 不 同 可 以 把 现代 密码 技术 分 为 两 类 : 对 称 加 密 算法 ( 私 钥 密码 体系 ) 和 非 
对 称 加 密 算 法 ( 公 钥 密码 体系 ) 。 在 对 称 加 密 算法 中 ,数据 加 密 和 解密 采用 的 都 是 同一 个 密 
钥 ,因而 其 安全 性 依赖 于 所 持 有 密 钥 的 安全 性 。 对 称 加 密 算法 的 主要 优点 是 加 密 和 解密 速 
度 快 ,加 密 强 度 高 。 且 算法 公开 ,但 其 最 大 的 缺点 是 实现 密 钥 的 秘密 分 发 困难 ,在 大 量 用 户 
的 情况 下 密 钥 管理 复杂 ,而 且 无 法 完成 身份 认证 等 功能 ,不 便于 应 用 在 网 络 开 放 的 环境 中 。 
最 著名 的 对 称 加 密 算法 有 数据 加 密 标准 (DES) 和 欧洲 数据 加 密 标准 (IDEA) 等 ,加 密 强 度 最 
高 的 对 称 加 密 算 法 是 高 级 加 密 标 准 (AES) 。 

对 称 加 密 算 法 . 非 对 称 加 密 算 法 和 不 可 逆 加 密 算法 可 以 分 别 应 用 于 数据 加 密 、 身 份 认 证 
和 数据 安全 传输 。 

1) 对 称 加 密 算 法 

对 称 加 密 算法 是 应 用 较 早 的 加 密 算 法 ,技术 成 熟 。 在 对 称 加 密 算 法 中 ,数据 发 信 方 把 明 
文 ( 原 始 数据 ) 和 加 密 密 钥 一 起 经 过 特殊 加 密 算 法 处 理 后 ,使 其 变 成 复杂 的 加 密 密 文 发 送出 
去 。 收 信 方 收 到 密 文 后 , 若 想 解 读 原文 , 则 需要 使 用 加 密 用 过 的 密 钥 及 相同 算法 的 逆 算 法 对 
密 文 进 行 解密 ,才能 使 其 恢复 成 可 读 明 文 。 在 对 称 加 密 算 法 中 ,使 用 的 密 钥 只 有 一 个 ,发 收 
信 双 方 都 使 用 这 个 密 钥 对 数据 进行 加 密 和 解密 ,这 就 要 求解 密 方 事先 必须 知道 加 密 密 钥 。 
对 称 加 密 算法 的 特点 是 算法 公开 、 计 算 量 小 .加 密 速度 快 、 加 密 效 率 高 。 不 足 之 处 是 交易 双 
方 都 使 用 同样 的 钥匙 ,安全 性 得 不 到 保证 。 此 外 ,每 对 用 户 每 次 使 用 对 称 加 密 算法 时 ,都 需 
要 使 用 其 他 人 不 知道 的 唯一 钥匙 ,这 会 使 得 发 收 信 双方 所 拥有 的 钥匙 数量 呈 几 何 级 数 增长 ， 
密 钥 管理 成 为 用 户 的 负担 。 对 称 加 密 算法 在 分 布 式 网 络 系统 上 使 用 较为 困难 ,主要 是 因为 
密 钥 管理 困难 ,使 用 成 本 较 高 。 在 计算 机 专 网 系统 中 广泛 使 用 的 对 称 加 密 算法 有 DES、 
IDEA 和 AES。 

2) 不 对 称 加 密 算法 

不 对 称 加 密 算法 使 用 完全 不 同 但 又 是 完全 匹配 的 一 对 钥匙 一 一 公 钥 和 私 钥 。 在 使 用 不 
对 称 加 密 算法 加 密 文 件 时 ,只 有 使 用 匹配 的 一 对 公 钥 和 私 钥 , 才 能 完成 对 明文 的 加 密 和 解密 
过 程 。 加 密 明文 时 采用 公 钥 加 密 , 解 密 密 文 时 使 用 私 钥 才 能 完成 ,而 且 发 信 方 (加 密 者 ) 知 道 
收 信 方 的 公 钥 ,只 有 收 信 方 (解密 者 ) 才 是 唯一 知道 自己 私 钥 的 人 。 不 对 称 加 密 算法 的 基本 
原理 是 如 果 发 信 方 想 发 送 只 有 收 信 方 才能 解读 的 加 密 信息 ,发 信 方 必须 首先 知道 收 信 方 的 
公 钥 ,然后 利用 收 信 方 的 公 钥 来 加 密 原 文 ; 收 信 方 收 到 加 密 密 文 后 ,使 用 自己 的 私 钥 才能 解 
密 密 文 。 显 然 ,采用 不 对 称 加 密 算法 ,收发 信 双 方 在 通信 之 前 , 收 信 方 必须 把 自己 早已 随机 
生成 的 公 钥 送 给 发 信 方 ,而 自己 保留 私 钥 。 由 于 不 对 称 算 法 拥有 两 个 密 钥 ,因而 特别 适用 于 
分 布 式 系统 中 的 数据 加 密 。 广 泛 应 用 的 不 对 称 加 密 算法 有 RSA 算法 和 美国 国家 标准 局 提 
出 的 DSA。 以 不 对 称 加 密 算法 为 基础 的 加 密 技术 应 用 非常 广泛 。 

3) 不 可 道 加 密 算法 

不 可 逆 加 密 算法 的 特征 是 加 密 过 程 中 不 需要 使 用 密 钥 ,输入 明文 后 由 系统 直接 经 过 加 
密 算法 处 理 成 密 文 。 这 种 加 密 后 的 数据 是 无 法 被 解密 的 ,只 有 重新 输入 明文 ,并 再 次 经 过 同 
样 不 可 逆 的 加 密 算 法 处 理 , 得 到 相同 的 加 密 密 文 并 被 系统 重新 识别 后 才能 真正 解密 。 显 然 ， 
在 这 类 加 密 过 程 中 ,加 密 是 自己 ,解密 还 得 是 自己 ,而 所 谓 解密 ,实际 上 就 是 重新 加 一 次 密 ， 
所 应 用 的 “密码 ”也 就 是 输入 的 明文 。 不 可 逆 加 密 算法 不 存在 密 钥 保管 和 分 发 问题 ,非常 适 
合 在 分 布 式 网 络 系统 上 使 用 。 但 因 加 密 计算 复杂 ,工作 量 相当 繁重 ,通常 只 在 数据 量 有 限 的 
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情形 下 使 用 ,如 广泛 应 用 在 计算 机 系统 中 的 口令 加 密 ,利用 的 就 是 不 可 逆 加 密 算法 。 随 着 计 
算 机 系统 性 能 的 不 断 提 高 ,不 可 逆 加 密 的 应 用 领域 逐渐 增 大 。 在 计算 机 网 络 中 应 用 较 多 不 
可 逆 加 密 算法 的 有 RSA 公司 发 明 的 MD5 算法 和 美国 国家 标准 局 建议 的 不 可 道 加 密 标准 
SHS(Secure Hash Standard, 安 全 杂乱 信息 标准 ) 等 。 


2. 传输 安全 


数据 传输 安全 是 指数 据 在 传输 过 程 中 必须 要 确保 数据 的 安全 性 完整 性 和 不 可 算 改 性 。 

数据 传输 加 密 技术 的 目的 是 对 传输 中 的 数据 流 加 密 , 以 防止 通信 线路 上 的 窃听 、 汇 露 、 
算 改 和 破坏 。 数 据 传输 的 完整 性 通常 通过 数字 签名 的 方式 来 实现 , 即 数据 的 发 送 方 在 发 送 
数据 的 同时 利用 单 向 的 不 可 逆 加 密 算法 Hash 函数 或 者 其 他 信息 文摘 算法 计算 出 所 传输 数 
据 的 消息 文摘 ,并 把 该 消息 文摘 作为 数字 签名 随 数据 一 同 发 送 。 接 收 方 在 收 到 数据 的 同时 
也 收 到 该 数据 的 数字 签名 ,接收 方 使 用 相同 的 算法 计算 出 接收 到 的 数据 的 数字 签名 ,并 把 该 
数字 签名 和 接收 到 的 数字 签名 进行 比较 , 若 二 者 相同 , 则 说 明 数 据 在 传输 过 程 中 未 被 修改 ， 
数据 完整 性 得 到 了 保证 。 

Hash 算法 也 称 为 消息 摘要 或 单 向 转换 ,是 一 种 不 可 逆 加 密 算法 。 称 它 为 单 向 转换 是 
因为 : 双方 必须 在 通信 的 两 个 端 头 处 各 自 执行 Hash 函数 计算 ; 使 用 Hash 函数 很 容易 从 
消息 计算 出 消息 摘要 ,但 其 逆向 反 演 过 程 以 计算 机 的 运算 能 力 几 乎 不 可 实现 。 

Hash 散 列 本 身 就 是 所 谓 加 密 检 查 , 通 信 双 方 必须 各 自 执 行 函数 计算 来 验证 消息 。 举 
例 来 说 ,发 送 方 首先 使 用 Hash 算法 计算 消息 检查 和 ,然后 把 计算 结果 A 封装 进 数 据 包 中 一 
起 发 送 ; 接收 方 再 对 所 接收 的 消息 执行 Hash 算法 计算 得 出 结果 B, 并 把 B 与 A 进行 比较 。 
如 果 消 息 在 传输 中 遭 算 改 致 使 B 与 A 不一致 ,接收 方 丢弃 该 数据 包 。 

有 两 种 最 常用 的 Hash 邱 数 : 

(1) MD5( 消 息 摘要 5)。MD5 对 MD4 做 了 改进 ,计算 速度 比 MD4 稍 慢 , 但 安全 性 能 得 到 
了 进一步 改善 。MD5 在 计算 中 使 用 了 64 个 32 位 常数 ,最 终生 成 一 个 128 位 的 完整 性 检查 。 

(2) SHA 安全 Hash 算法 。 其 算法 以 MD5 为 原型 。SHA 在 计算 中 使 用 了 79 个 32 位 
常数 ,最 终 产生 一 个 160 位 完整 性 检查 。SHA 检查 和 长 度 比 MD5 更 长 ,因此 安全 性 也 更 高 。 


3. 身份 认证 


身份 认证 的 目的 是 确定 系统 和 网 络 的 访问 者 是 否 是 合法 用 户 。 主 要 采用 登录 密码 、 代 
表 用 户 身份 的 物品 (如 智能 卡 \IC 卡 等 ) 或 反映 用 户 生 理 特 征 的 标识 鉴别 访问 者 的 身份 。 

身份 认证 要 求 参与 安全 通信 的 双方 在 进行 安全 通信 前 ,必须 互相 鉴别 对 方 的 身份 。 保 
护 数据 不 仅仅 是 要 让 数据 正确 .长久 地 存在 ,更 重要 的 是 ,要 让 不 该 看 到 数据 的 人 看 不 到 。 
这 方面 就 必须 依靠 身份 认证 技术 来 给 数据 加 上 一 把 锁 。 数 据 存在 的 价值 就 是 需要 被 合理 访 
问 , 所 以 建立 信息 安全 体系 的 目的 应 该 是 保证 系统 中 的 数据 只 能 被 有 权限 的 人 访问 ,未 经 授 
权 的 人 则 无 法 访问 到 数据 。 如 果 没 有 有 效 的 身份 认证 手段 ,访问 者 的 身份 就 很 容易 被 伪造 ， 
使 得 未 经 授权 的 人 仿冒 有 权限 人 的 身份 ,这 样 ,任何 安全 防范 体系 就 都 形同虚设 ,所 有 安全 
投入 就 被 无 情 地 浪费 了 。 

在 企业 管理 系统 中 ,身份 认证 技术 要 能 够 密切 结合 企业 的 业务 流程 ,阻止 对 重要 资源 的 
非法 访问 。 身 份 认证 技术 可 以 用 于 解决 访问 者 的 物理 身份 和 数字 身份 的 一 致 性 问题 ,给 其 
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他 安全 技术 提供 权限 管理 的 依据 。 所 以 说 ,身份 认证 是 整个 信息 安全 体系 的 基础 。 

由 于 网 上 的 通信 双方 互 不 见面 ,必须 在 交易 时 (交换 敏感 信息 时 ) 确 认 对 方 的 真实 身份 。 
身份 认证 指 的 是 用 户 身份 的 确认 技术 , 它 是 网 络 安全 的 第 一 道 防线 ,也 是 最 重要 的 一 道 
防线 。 

在 公共 网 络 上 的 认证 ,从 安全 角度 分 有 两 类 : 一 类 是 请 求 认证 者 的 秘密 信息 (例如 口 
令 ) 在 网 上 传送 的 口令 认证 方式 ; 另 一 类 是 使 用 不 对 称 加 密 算法 ,而 不 需要 在 网 上 传送 秘密 
信息 的 认证 方式 ,这 类 认证 方式 中 包括 数字 签名 认证 方式 。 

1) 口令 认证 方式 

口令 认证 必须 具备 一 个 前 提 : 请 求 认 证 者 必须 具有 一 个 ID, 该 ID 必须 在 认证 者 的 用 
户 数据 库 ( 该 数据 库 必须 包括 ID 和 口令 ) 中 是 唯一 的 。 同 时 为 了 保证 认证 的 有 效 性 ,必须 考 
虑 到 以 下 问题 : 请 求 认证 者 的 口令 必须 是 安全 的 ; 在 传输 过 程 中 ,口令 不 能 被 窃 看 、 蔡 换 ; 
请 求 认证 者 在 向 认证 者 请 求 认证 前 ,必须 确认 认证 者 的 真实 身份 ,否则 会 把 口令 发 给 冒充 的 
认证 者 。 

口令 认证 方式 还 有 一 个 最 大 的 安全 问题 就 是 系统 的 管理 员 通 常 都 能 得 到 所 有 用 户 的 口 
令 。 因 此 ,为 了 避免 这 样 的 安全 隐患 ,通常 情况 下 会 在 数据 库 中 保存 口令 的 Hash 值 ,通过 
验证 Hash 值 的 方法 来 认证 身份 。 

2) 使 用 不 对 称 加 密 算法 的 认证 方式 (数字 证 书 方 式 ) 

使 用 不 对 称 加 密 算 法 的 认证 方式 ,认证 双方 的 个 人 秘密 信息 (例如 口令 ) 不 用 在 网 络 上 
传送 ,减少 了 认证 的 风险 。 这 种 方式 是 通过 请 求 认证 者 与 认证 者 之 间 对 一 个 随机 数 作 数 字 
签名 与 验证 数字 签名 来 实现 的 。 

认证 一 旦 通过 ,双方 即 建立 安全 通道 进行 通信 ,在 每 一 次 的 请 求 和 响应 中 进行 , 即 接收 
信息 的 一 方 先 从 接收 到 的 信息 中 验证 发 信人 的 身份 信息 ,验证 通过 后 才 根 据 发 来 的 信息 进 
行 相 应 的 处 理 。 

用 于 实现 数字 签名 和 验证 数字 签名 的 密 钥 对 必须 与 进行 认证 的 一 方 唯一 对 应 。 

在 公 钥 密码 (不 对 称 加 密 算法 ) 体 系 中 ,数据 加 密 和 解密 采用 不 同 的 密 钥 ,而 且 用 加 密 密 
钥 加 密 的 数据 只 有 采用 相应 的 解密 密 钥 才能 解密 ,更 重要 的 是 从 加 密 密 码 来 求解 解密 密 钥 
十 分 困难 。 在 实际 应 用 中 ,用 户 通常 把 密 钥 对 中 的 加 密 密 钥 公开 ( 称 为 公 钥 ) ,而 秘密 持 有 解 
密 密 钥 ( 称 为 私 钥 )。 利 用 公 钥 体系 可 以 方便 地 实现 对 用 户 的 身份 认证 , 即 用 户 在 信息 传输 
前 首先 用 所 持 有 的 私 钥 对 传输 的 信息 进行 加 密 ,信息 接收 者 在 收 到 这 些 信息 之 后 利用 该 用 
户 向 外 公布 的 公 钥 进行 解密 ,如 果 能 够 解 开 , 说 明 信 息 确实 为 该 用 户 所 发 送 ,这 样 就 方便 地 
实现 了 对 信息 发 送 方 身份 的 鉴别 和 认证 。 在 实际 应 用 中 通常 把 公 钥 密码 体系 和 数字 签名 算 
法 结合 使 用 ,在 保证 数据 传输 完整 性 的 同时 完成 对 用 户 的 身份 认证 。 

不 对 称 加 密 算法 都 是 基于 一 些 复 杂 的 数学 难题 ,例如 广泛 使 用 的 RSA 算法 就 是 基于 大 
整数 因子 分 解 这 一 著名 的 数学 难题 。 常 用 的 非 对 称 加 密 算法 包括 整数 因子 分 解 (以 RSA 为 
代表 ) ,椭圆 曲线 离散 对 数 和 离散 对 数 ( 以 DSA 为 代表 )。 公 钥 密 码 体系 的 优点 是 能 适应 网 
络 的 开放 性 要 求 , 密 钥 管 理 简单 ,并 且 可 方便 地 实现 数字 签名 和 身份 认证 等 功能 ,是 电子 商 
务 等 技术 的 核心 基础 。 其 缺点 是 算法 复杂 ,加 密 数 据 的 速度 和 效率 较 低 。 因 此 在 实际 应 用 
中 ,通常 把 对 称 加 密 算法 和 非 对 称 加 密 算 法 结合 使 用 ,利用 AES、DES 或 者 IDEA 等 对 称 加 
密 算法 来 进行 大 容量 数据 的 加 密 , 而 采用 RSA 等 非 对称 加 密 算法 来 传递 对 称 加密 算 法 所 使 
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用 的 密 钥 , 通 过 这 种 方法 可 以 有 效 地 提高 加 密 的 效率 并 能 简化 对 密 钥 的 管理 。 
10.4.3 数据 库 安 全 


数据 库 安 全 包含 两 层 含义 : 第 一 层 是 指 系统 运行 安全 。 系 统 运行 安全 通常 受到 的 威 
胁 如 下 : 一 些 网 络 不 法 分 子 通过 网 络 .局域网 等 途径 入 侵 计 算 机 使 系统 无 法 正常 启动 ,或 
让 超 负荷 计算 机 和 运行 大 量 算法 ,并 关闭 CPU 风扇 ,使 CPU 过 热 烧 坏 等 破坏 性 活动 。 第 二 
层 是 指 系统 信息 安全 。 系 统 安全 通常 受到 的 威胁 如 下 : 黑客 对 数据 库 人 侵 , 并 盗 取 想 要 
的 资料 。 


1. 数据 库 安全 特征 


数据 库 系 统 的 安全 特性 主要 是 针对 数据 而 言 的 ,包括 数据 独立 性 、 数 据 安全 性 、 数 据 完 
整 性 、 并 发 控制 和 故障 恢复 等 几 个 方面 。 下 面 分 别 对 其 进行 介绍 。 

1) 数据 独立 性 

数据 独立 性 包括 物理 独立 性 和 逻辑 独立 性 两 个 方面 。 物 理 独立 性 是 指 用 户 的 应 用 程序 
与 存储 在 磁盘 上 的 数据 库 中 的 数据 是 相互 独立 的 ; 逻辑 独立 性 是 指 用 户 的 应 用 程序 与 数据 
库 的 逻辑 结构 是 相互 独立 的 。 

2) 数据 安全 性 

操作 系统 中 的 对 象 一 般 情况 下 是 文件 ,而 数据 库 支持 的 应 用 要 求 更 为 精细 。 通 常 比较 
完整 的 数据 库 对 数据 安全 性 采取 以 下 措施 : 将 数据 库 中 需要 保护 的 部 分 与 其 他 部 分 相隔 ; 
采用 授权 规则 ,如 账户 ,口令 和 权限 控制 等 访问 控制 方法 ; 对 数据 进行 加 密 后 存储 于 数 
据 库 。 

3) 数据 完整 性 

数据 完整 性 包括 数据 的 正确 性 有 效 性 和 一 致 性 。 正 确 性 是 指数 据 的 输入 值 与 数据 表 
对 应 域 的 类 型 一 样 ; 有 效 性 是 指数 据 库 中 的 理论 数值 满足 现实 应 用 中 对 该 数值 段 的 约束 ; 
一 致 性 是 指 不 同 用 户 使 用 的 同一 数据 应 该 是 一 样 的。 保证 数据 的 完整 性 ,需要 防止 合法 用 
户 使 用 数据 库 时 向 数据 库 中 加 入 不 合 语义 的 数据 。 

4) 并 发 控制 

如 果 数 据 库 应 用 要 实现 多 用 户 共享 数据 ,就 可 能 在 同一 时 刻 多 个 用 户 要 存 取 数据 ,这 种 
事件 叫做 并 发 事件 。 当 一 个 用 户 取 出 数据 进行 修改 ,在 修改 存 人 数据 库 之 前 如 有 其 他 用 户 
再 取 此 数据 ,那么 读 出 的 数据 就 是 不 正确 的 。 这 时 就 需要 对 这 种 并 发 操作 施行 控制 ,排除 和 
避免 这 种 错误 的 发 生 , 保 证 数据 的 正确 性 。 

5) 故障 恢复 

由 数据 库 管理 系统 提供 一 套 方法 ,可 及 时 发 现 故障 和 修复 故障 ,从 而 防止 数据 被 破坏 。 
数据 库 系统 能 尽快 恢复 数据 库 系统 运行 时 出 现 的 故障 ,可 能 是 物理 上 或 是 逻辑 上 的 错误 ,如 
对 系统 的 误 操作 造成 的 数据 错误 等 。 


2. 数据 库 安 全 威胁 种 类 


近 两 年 ,数据 库 问 题 频 发 ,黑客 盗 取 数据 库 的 技术 在 不 断 提升 。 虽 然 数据 库 的 防护 能 力 
也 在 提升 ,但 相 比 黑客 的 手段 来 说 ,单纯 的 数据 库 防 护 还 是 心 有 余 而 力 不 足 。 数 据 库 审计 已 
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经 不 是 一 种 新 兴 的 技术 手段 ,但 是 却 在 数据 库 安全 事件 频 发 的 今天 给 我 们 以 新 的 启示 。 数 
据 库 受 到 的 威胁 大 致 有 下 面 几 种 : 

1) 内 部 人 员 错 误 

数据 库 安全 的 一 个 潜在 风险 就 是 “ 非 故 意 的 授权 用 户 攻击 ”和 内 部 人 员 错 误 。 这 种 安全 
事件 类 型 的 最 常见 表现 包括 由 于 不 慎 而 造成 意外 删除 或 泄露 , 非 故 意 的 规避 安全 策略 。 在 
授权 用 户 无 意 访 问 敏感 数据 并 错误 地 修改 或 删除 信息 时 ,就 会 发 生 第 一 种 风险 。 在 用 户 为 
了 备份 或 “将 工作 带 回 家 ”而 作 了 非 授 权 的 备份 时 ,就 会 发 生 第 二 种 风险 。 虽 然 这 并 不 是 一 
种 恶意 行为 ,但 很 明显 , 它 违反 了 公司 的 安全 策略 ,并 会 造成 数据 存放 到 存储 设备 上 ,在 该 设 
备 遭 到 恶意 攻击 时 就 会 导致 非 故 意 的 安全 事件 。 例 如 ,笔记 本 式 计算 机 就 能 造成 这 种 风险 。 

2) 社交 工程 

由 于 攻击 者 使 用 的 是 高 级 钓鱼 技术 ,在 合法 用 户 不 知 不 觉 地 将 安全 机 密 提 供给 攻击 者 
时 ,就 会 发 生 大 量 的 严重 攻击 。 这 些 新 型 攻击 的 成 功 ,意味 着 此 趋势 在 2012 年 继续 。 在 这 种 
情况 下 ,用 户 会 通过 一 个 受到 损害 的 网 站 或 通过 一 个 电子 邮件 响应 将 信息 提供 给 看 似 合法 
的 请 求 。 应 当 通 知 雇员 这 种 非法 的 请 求 , 并 教育 他 们 不 要 做 出 响应 。 此 外 ,企业 还 可 以 通过 
适时 地 检测 可 疑 活动 来 减轻 成 功 的 钓鱼 攻击 的 影响 。 数 据 库 活 动 监 视 和 审计 可 以 使 这 种 攻 
击 的 影响 最 小 化 。 

3) 内 部 人 员 攻 击 

很 多 数据 库 攻击 源 自 企业 内 部 。 当 前 的 经 济 环境 和 有 关 的 裁员 方法 都 有 可 能 引起 雇员 
的 不 满 ,从 而 导致 内 部 人 员 攻 击 的 增加 。 这 些 内 部 人 员 受 到 贪 欲 或 报复 欲 的 驱使 , 且 不 受 防 
火 墙 及 入 侵 防御 系统 等 的 影响 ,容易 给 企业 带 来 风险 。 

4) 错误 配置 

黑客 可 以 使 用 数据 库 的 错误 配置 控制 * 肉 机 ”访问 点 ,借以 绕 过 认证 方法 并 访问 敏感 信 
息 。 这 种 配置 缺陷 成 为 攻击 者 借助 特权 提升 发 动 某 些 攻击 的 主要 手段 。 如 果 没 有 正确 地 重 
新 设置 数据 库 的 默认 配置 ,非特 权 用 户 就 有 可 能 访问 未 加 密 的 文件 ,未 打 补 丁 的 漏洞 就 有 可 
能 导致 非 授权 用 户 访问 敏感 数据 。 

5) 未 打 补 丁 的 漏洞 

如 今 攻 击 已 经 从 公开 的 漏洞 利用 发 展 到 更 精细 的 方法 ,并 敢于 挑战 传统 的 入 侵 检测 机 
制 。 漏 洞 利用 的 脚本 在 数据 库 补 丁 发 布 的 几 小 时 内 就 可 以 被 发 到 网 上 。 当 即 就 可 以 使 用 的 
漏洞 利用 代码 ,再 加 上 几 十 天 的 补丁 周期 (在 多 数 企 业 中 如 此 ) ,实质 上 几乎 把 数据 库 的 大 门 
完全 打开 了 。 

6) 高 级 持续 性 威胁 

之 所 以 称 其 为 高 级 持续 性 威胁 ,是 因为 实施 这 种 威胁 的 是 有 组 织 的 专业 公司 或 政府 机 
构 ,它们 掌握 了 威胁 数据 库 安 全 的 大 量 技术 和 技巧 ,而且 是 “咬定 青山 不 放松 ,立根 原 在 金钱 
(有 资金 支持 ) 中 ”,“ 千 磨 万 击 还 坚 劲 , 任 尔 东西 南北 风 ”。 这 是 一 种 正 其 器 尘 上 的 风险 : 热 
囊 于 窃取 数据 的 公司 甚至 外 国政 府 专门 窃取 存储 在 数据 库 中 的 大 量 关键 数据 ,不 再 满足 于 
获得 一 些 简单 的 数据 。 特 别 是 一 些 个 人 的 私密 及 金融 信息 ,一 旦 失窃 ,这 些 数据 记录 就 可 以 
在 信息 黑市 上 销售 或 使 用 ,并 被 其 他 政府 机 构 操 纵 。 鉴 于 数据 库 攻击 涉及 成 千 上 万 甚至 上 
百 万 的 记录 ,所 以 其 日 益 增 长 和 普遍 。 通 过 锁定 数据 库 漏洞 并 密切 监视 对 关键 数据 存储 的 
访问 ,数据 库 的 专家 们 可 以 及 时 发 现 并 阻止 这 些 攻击 。 
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3. 数据 库 安全 策略 


1) 用 户 角 色 管理 

(1) 用 户 管理 。 建 立 不 同 的 用 户 组 和 用 户口 令 验 证 可 以 有 效 地 防止 非法 的 Oracle 用 户 
进入 数据 库 系统 ,造成 不 必要 的 麻烦 和 损坏 。 在 Oracle 数据 库 中 ,可 以 通过 授权 来 对 
Oracle 用 户 的 操作 进行 限制 , 即 允 许 一 些 用 户 可 以 对 Oracle 服务 器 进行 访问 ,也 就 是 说 对 
整个 数据 库 具 有 读 写 的 权利 ,而 大 多 数 用 户 只 能 在 同 组 内 进行 读 写 或 对 整个 数据 库 只 具有 
读 的 权利 。 尽 量 避 免 使 用 DBA 用 户 对 系统 进行 访问 及 操作 (如 sys、system 账户 ) ,Oracle 
初始 化 建立 的 SYS 和 SYSTEM 系统 管理 员 用 户 密 码 改 成 别 的 不 易 被 记忆 的 字符 串 。 
Oracle Web Server 的 管理 端口 具备 DBA 浏览 数据 库 的 能 力 , 因 此 其 管理 者 admin 的 密码 
也 应 保密 ,密码 改 成 别 的 不 易 被 记忆 的 字符 串 ,并 指定 专门 的 数据 库 管理 员 定期 修改 。 

(2) 用 户 密码 设置 。 定 时 对 系统 的 密码 进行 修改 (如 15 个 工作 日 或 者 7 个 工作 日 ) 。 

密码 设 定 原则 : Oracle 支持 用 户 定义 的 复杂 密码 规则 ,从 而 可 以 在 用 户 提 供 密码 的 同 
时 验证 密码 的 强度 。 复 杂 密码 规则 对 于 确保 设 定 健壮 的 密码 是 非常 重要 的 ,而 复杂 密码 的 
规则 也 应 该 成 为 组 织 中 正式 的 密码 策略 (如 果 建 立 了 这 样 一 个 策略 ,那么 就 应 该 执行 它 ) 。 
可 以 根据 这 条 规则 检验 密码 复杂 性 要 求 的 各 个 方面 ,而 最 大 的 例外 则 是 对 大 小 写 的 区 分 , 数 
据 库 在 认证 密码 时 是 区 分 大 小 写 的 。 根 据 密码 复杂 性 规则 ,下 面 列 出 的 通常 是 需要 检测 的 
情况 : 

@ 密码 不 应 该 和 用 户 名 相 一 致 。 

@ 密码 至 少 需 要 包含 一 位 数字 。 

@ 密码 应 该 超过 一 定 的 字符 长 度 。 

@ 密码 不 应 该 和 过 去 的 密码 相 一 致 。 

@ 密码 不 应 该 是 很 容易 就 能 被 猜测 到 的 单词 ,例如 manager、oracle 或 者 是 公司 的 名 字 。 

@ 密码 设置 的 长 度 要 大 于 16 位 ,由 字母 .数字 和 标点 符号 等 组 成 。 

2) 数据 备份 

数据 库 的 备份 已 经 成 为 信息 时 代 每 天 都 必 做 的 事情 ,这 样 才能 在 数据 库 的 数据 或 者 硬 
件 出 现 故 障 时 ,能 够 保证 数据 库 系 统 得 到 迅速 的 恢复 。 备 份 是 数据 的 一 个 代表 性 副本 。 该 
副本 会 包含 数据 库 的 重要 部 分 ,如 控制 文件 、 重 做 日 志和 数据 文件 。 备 份 通过 提供 一 种 还 原 
原始 数据 的 方法 保护 数据 不 受 应 用 程序 错误 的 影响 并 防止 数据 的 意外 丢失 。 备 份 分 为 物理 
备份 和 人 逻辑 备份 。 物 理 备 份 是 物理 数据 库 文件 的 副本 。“ 备 份 与 恢复 ”通常 指 将 复制 的 文件 
从 一 个 位 置 转移 到 另 一 个 位 置 ,同时 对 这 些 文件 执行 各 种 操作 。 

(1) 逻辑 备份 。 逻 辑 备 份 就 是 把 现在 使 用 的 数据 库 中 的 数据 导出 来 ,存放 到 另外 一 台 
计算 机 设备 上 ,在 数据 库 中 的 数据 出 现 丢失 ,可 以 进行 及 时 恢复 。 

(2) 物理 备份 。 物 理 备份 也 是 数据 库 管 理 员 经 常 使 用 的 一 种 备份 方式 。 数据库 物理 备 
份 就 是 对 数据 库 中 的 所 有 内 容 进行 备份 。 

3) 网 络 安全 设置 

为 了 加 强 数据 库 在 网 络 中 的 安全 性 ,对 于 远程 用 户 ,应 使 用 加 密 方式 通过 密码 来 访问 数 
据 库 ,加 强 网 络 上 的 DBA 权限 控制 ,如 拒绝 远程 的 DBA 访问 等 。 
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4) 数据 库 系 统 恢复 

在 使 用 数据 库 时 ,总 希望 数据 库 能 够 正常 安全 地 运行 ,但 是 有 时 候 会 出 现 人 为 地 操作 数 
据 失误 ,或 者 服务 器 的 硬件 设备 出 现 故 障 ,这 些 都 是 我 们 所 不 愿意 看 到 的 ,但 又 是 不 得 不 面 
对 的 问题 。 即 使 出 现 这 种 情况 ,由 于 对 数据 库 的 数据 进行 了 系统 备份 ,可 以 很 顺利 地 解决 这 
些 问 题 。 即 使 计算 机 发 生 故 障 ,如 介质 损坏 、 软 件 系 统 异 常 等 情况 时 ,可 以 通过 备份 进行 不 
同 程度 的 恢复 ,使 Oracle 数据 库 系 统 尽快 恢复 到 正常 状态 。 

(1) 由 于 人 为 操作 或 者 系统 问题 造成 数据 丢失 。 使 用 Oracle 命令 Import 导入 相应 表 
的 数据 信息 。 

(2) 数据 文件 损坏 。 这 种 情况 可 以 用 最 近 所 做 的 数据 库 文 件 备份 进行 恢复 ,即将 备份 
中 的 对 应 文件 恢复 到 原来 位 置 ,重新 加 载 数据 库 。 

(3) 控制 文件 损坏 。 若 数据 库 系统 中 的 控制 文件 损坏 , 则 数据 库 系统 将 不 能 正常 运行 ， 
那么 只 需 将 数据 库 系统 关闭 ,然后 从 备份 中 将 相应 的 控制 文件 恢复 到 原 位 置 ,重新 启动 数据 

(4) 整个 文件 系统 损坏 。 在 大 型 的 操作 系统 中 ,如 UNIX, 由 于 磁盘 或 磁盘 阵列 的 介质 
不 可 靠 或 损坏 是 经 常 发 生 的 ,这 将 导致 整个 Oracle 数据 库 系统 崩溃 。 将 磁盘 或 磁盘 阵列 重 
新 初始 化 ,去 掉 失 效 或 不 可 靠 的 坏 块 ,重新 创建 文件 系统 ,利用 备份 将 数据 库 系 统 完整 地 恢 
复 , 启 动 数据 库 系统 。 

(5) 操作 系统 故障 , 重 做 Oracle 数据 库 系统 。 重 新 安装 Oracle 系统 ,创建 表 空 间 及 用 
户 , 根 据 需 要 对 系统 参数 进行 相应 的 配置 ,导入 备份 的 用 户 数据 对 象 ,导入 备份 的 数据 库 
数据 。 


10.4.4 虚拟 化 数据 安全 


数据 中 心虚 拟 化 是 指 利用 虚拟 化 技术 构建 基础 设施 池 ,主要 包括 计算 ,存储 和 网 络 3 种 
资源 。 数 据 中 心虚 拟 化 后 不 再 独立 地 看 待 某 台 设备 和 链 路 ,而 是 计算 存储 和 网 络 的 深度 融 
合 , 当 作 按 需 分 配 的 整体 资源 来 对 待 。 从 主机 等 计算 资源 角度 看 ,数据 中 心虚 拟 化 包含 多 合 
一 ,一 分 多 两 个 方向 ,都 提供 了 计算 资源 按 需 调度 的 手段 。 存 储 虚 拟 化 的 核心 就 是 实现 物理 
存储 设备 到 单一 逻辑 资源 池 的 映射 ,是 为 了 便于 应 用 和 服务 进行 数据 管理 ,对 存储 子 系统 或 
存储 服务 进行 的 内 部 功能 抽象 .隐藏 和 隔离 的 行为 。 在 现代 信息 技术 中 ,虚拟 化 技术 以 其 对 
资源 的 高 效 整合 、 提 高 硬件 资源 利用 率 、 节 省 能 源 、 节 约 投 资 等 优点 而 得 到 广泛 应 用 。 但 虚 
拟 化 技术 在 为 用 户 带 来 利益 的 同时 ,也 对 用 户 的 数据 安全 和 基础 架构 提出 了 新 的 要 求 。 如 
何在 安全 的 范畴 使 用 虚拟 化 技术 ,成 为 迫在眉睫 需要 解决 的 问题 。 


1. 虚拟 化 后 数据 中 心 面临 的 安全 问题 


(1) 服务 器 利用 率 和 端口 流量 大 幅 提升 ,对 数据 中 心 网 络 承载 性 能 提出 巨大 挑战 ,对 网 
络 可 靠 性 要 求 更 高 。 

(2) 各 种 应 用 部 署 在 同一 台 服 务 器 上 ,网 络 流量 在 同一 台 服 务 器 上 倒 加 ,使 得 流量 模型 
更 加 复杂 。 

(3) 虚拟 机 的 部 署 和 迁移 ,使 安全 策略 的 部 署 更 复杂 ,需要 一 个 动态 安全 机 制 对 数据 中 
心 进行 防护 。 
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(4) 在 应 用 虚拟 存储 技术 后 , 面 对 异 构 存 储 设备 的 特点 ,存在 如 何 统 一 监管 的 问题 。 
(5) 虚拟 化 后 不 同 密级 信息 混合 存储 在 同一 个 物理 介质 上 ,将 造成 越权 访问 等 问题 。 


2. 数据 中 心安 全 风险 分 析 


1) 高 资源 利用 率 带 来 的 风险 集中 

通过 虚拟 化 技术 ,提高 了 服务 器 的 利用 效率 和 灵活 性 ,也 导致 服务 器 负载 过 重 , 运 行 性 
能 下 降 。 虚 拟 化 后 多 个 应 用 集中 在 一 台 服 务 器 上 , 当 物 理 服务 器 出 现 重大 硬件 故障 是 更 严 
重 的 风险 集中 问题 。 虚 拟 化 的 本 质 是 应 用 只 与 虚拟 层 交 互 ,而 与 真正 的 硬件 隔离 ,这 将 导致 
安全 管理 人 员 看 不 到 设备 背后 的 安全 风险 ,服务 器 变 得 更 加 不 固定 和 不 稳定 。 

2) 网 络 架构 改变 带 来 的 安全 风险 

虚拟 化 技术 改变 了 网 络 结构 ,引发 新 的 安全 风险 。 在 部 署 虚拟 化 技术 之 前 ,可 在 防火 墙 
上 建立 多 个 隔离 区 ,对 不 同 的 物理 服务 器 采用 不 同 的 访问 控制 规则 ,可 有 效 保证 攻击 限制 在 
一 个 隔离 区 内 。 在 部 署 虚拟 化 技术 后 ,一 台 虚 拟 机 失效 ,可 能 通过 网 络 将 安全 问题 扩散 到 其 
他 虚拟 机 。 

3) 虚拟 机 脱离 物理 安全 监管 的 风险 

一 台 物 理 机 上 可 以 创建 多 个 虚拟 机 , 且 可 以 随时 创建 ,也 可 被 下 载 到 桌面 系统 上 , 常 驻 
内 存 , 可 以 脱离 物理 安全 监管 的 范畴 。 很 多 安全 标准 是 依赖 于 物理 环境 发 挥 作用 的 ,外 部 的 
防火 墙 和 异常 行为 监测 等 都 需要 物理 服务 器 的 网 络 流量 ,有 时 虚拟 化 会 绕 过 安全 措施 。 存 
在 异 构 存储 平台 的 无 法 统一 安全 监控 和 无 法 有 效 资源 隔离 的 风险 。 

4) 虚拟 环境 的 安全 风险 

(1) 黑客 攻击 。 控 制 了 管理 层 的 黑客 会 控制 物理 服务 器 上 的 所 有 虚拟 机 ,而 管理 程序 
上 和 运行 的 任何 操作 系统 都 很 难 侦 测 到 流氓 软件 等 的 威胁 。 

(2) 虚拟 机 溢出 。 虚 拟 机 溢出 的 漏洞 会 导致 黑客 威胁 到 特定 的 虚拟 机 ,将 黑客 攻击 从 
虚拟 服务 器 升级 到 控制 底层 的 管理 程序 。 

(3) 虚拟 机 跳跃 。 虚 拟 机 跳跃 会 允许 攻击 从 一 个 虚拟 机 跳 转 到 同一 个 物理 硬件 上 运行 
的 其 他 虚拟 服务 器 。 

(4) 补丁 安全 风险 。 物 理 服务 器 上 安装 多 个 虚拟 机 后 ,每 个 虚拟 服务 器 都 需要 定期 进 
行 补 本 更新、 维护, 大 量 的 打 补 丁 工 作 会 导致 不 能 及 时 补漏 而 产生 安全 威胁 。 安 全 研究 人 员 
在 虚拟 化 软件 发 现 了 严重 的 安全 漏洞 , 即 可 通过 虚拟 机 在 主机 上 执行 恶意 代码 。 黑 客 还 可 
以 利用 虚拟 化 技术 隐藏 病毒 和 恶意 软件 的 踪迹 。 


10.4.5 数据 容 灾 
1. 存在 的 问题 


早期 的 容 灾 系 统 局 限于 小 范围 区 域 , 通 常 称 为 本 地 容 灾 系 统 , 即 只 在 本 地 构建 数据 备份 
中 心 和 本 地 备用 服务 系统 。 该 系统 能 够 容忍 硬件 毁坏 等 灾难 造成 的 单 点 失效 问题 ,而 对 于 
火灾 建筑 物 衣 塌 等 灾难 却 无 能 为 力 。 随 着 人 们 对 容 灾 力度 需求 的 不 断 提高 ,出 现 了 异地 容 
灾 系 统 , 即 建立 异地 应 用 系统 和 异地 数据 备份 中 心 。 根 据 异 地 备份 中 心 与 本 地 系统 距离 的 
远近 ,系统 所 能 容忍 的 灾难 有 所 不 同 。 如 果 其 间距 离 在 100km 之 内 ,可 容忍 火灾 、 建 筑 物 声 
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塌 等 灾难 ; 如 果 距 离 达到 了 几 百 千 米 , 则 可 容忍 地 震 、 水 灾 等 大 规模 灾难 。 但 是 这 种 容 灾 系 
统 降低 了 数据 恢复 的 速度 , 面 对 一 些小 范围 故障 恢复 时 ,效率 低下 。 

为 了 克服 上 述 问题 ,出 现 了 设备 级 虚拟 化 产品 在 容 灾 系 统 中 的 应 用 。HP Storage 
Works EVA 企业 虚拟 阵列 存储 系统 是 设备 级 虚拟 化 产品 在 容 灾 系 统 中 应 用 的 典范 , 它 的 
引入 可 以 有 效 提高 数据 的 备份 和 恢复 速度 。 从 理论 上 讲 , 将 虚拟 存储 技术 应 用 到 容 灾 系统 ， 
可 以 在 不 中 断 应 用 的 情况 下 在 线 增 加 存储 容量 ,更换 存储 设备 ,实现 数据 的 透明 备份 ,恢复 、 
迁移 等 ,从 而 极 大 地 提高 容 灾 的 有 效 性 和 灵活 性 。 但 是 现 阶段 基于 这 种 设备 级 虚拟 存储 技 
术 的 应 用 范围 仍 具有 一 定 的 局 限 性 ,而 且 也 未 能 实现 真正 意义 上 的 容 灾 系统 透明 化 管理 。 

而 在 备份 数据 安全 保护 方面 ,Symantec 公司 的 Backup Exec 11d 软件 提供 了 备份 数据 
保护 技术 ,其 采取 AES 加 密 技术 ,根据 用 户 的 口令 生成 唯一 的 加 密 密 钥 ,可 以 防范 他 人 非法 
访问 备份 存储 设备 窃取 数据 。 但 其 提供 的 加 密 技术 ,每 进行 一 次 加 解密 操作 都 需要 用 户 的 
手动 干预 ,使 用 起 来 极 不 方便 。 基 于 上 述 分 析 , 可 以 得 出 目前 容 灾 系 统 中 仍 存在 以 下 3 个 问 
题 : 针对 已 有 系统 增加 容 灾 功 能 ,需要 对 原 有 系统 进行 大 量 的 修改 ,并 且 在 面 对 大 量 备份 数 
据 时 ,管理 复杂 度 高 ; 面 对 大 规模 数据 容 灾 , 容 灾 的 灵活 性 有 限 ,总体 效率 不 高 ; 未 对 备份 
数据 提供 良好 的 加 密 保护 机 制 , 存 在 很 大 的 安全 隐患 。 


2. 数据 容 灾 的 概念 


数据 级 容 灾 是 指 通过 建立 异地 容 灾 中 心 ,做 数据 的 远程 备份 ,在 灾难 发 生 之 后 要 确保 原 
有 的 数据 不 会 丢失 或 者 遭 到 破坏 ,但 在 数据 级 容 灾 这 个 级 别 , 发 生 灾难 时 应 用 是 会 中 断 的 。 
在 数据 级 容 灾 方式 下 ,所 建立 的 异地 容 灾 中 心 可 以 简单 地 把 它 理解 成 一 个 远程 的 数据 备份 
中 心 。 数 据 级 容 灾 的 恢复 时 间 比 较 长 ,但 是 相 比 其 他 容 灾 级 别 来 讲 它 的 费用 比较 低 , 而 且 构 
建 实施 也 相对 简单 。 

所 谓 数据 容 灾 , 就 是 指 建立 一 个 异地 的 数据 系统 ,该 系统 是 本 地 关键 应 用 数据 的 一 个 可 
用 复制 。 在 本 地 数据 及 整个 应 用 系统 出 现 灾 难 时 ,系统 至 少 在 异地 保存 有 一 份 可 用 的 关键 
业务 的 数据 。 该 数据 可 以 是 与 本 地 生产 数据 的 完全 实时 备份 ,也 可 以 比 本 地 数据 略微 落后 ， 
但 一 定 是 可 用 的 。 采 用 的 主要 技术 是 数据 备份 和 数据 复制 技术 。 

数据 容 灾 技 术 ,又 称 为 异地 数据 复制 技术 ,按照 其 实现 的 技术 方式 ,主要 可 以 分 为 同步 
传输 方式 和 异步 传输 方式 (各 厂商 在 技术 用 语 上 可 能 有 所 不 同 )。 男 外 ,也 有 如 “ 半 同 步 ”这 
样 的 方式 。 半 同步 传输 方式 基本 与 同步 传输 方式 相同 ,只 是 在 Read 占 1/O 比重 比较 大 时 ， 
相对 同步 传输 方式 可 以 略微 提高 1/O 的 速度 。 而 根据 容 灾 的 距离 ,数据 容 灾 又 可 以 分 成 远 
程 数 据 容 灾 和 近 程 数据 容 灾 方式 。 下 面 将 主要 按 同 步 传 输 方式 和 异步 传输 方式 对 数据 容 灾 
展开 讨论 ,其 中 也 会 涉及 远程 容 灾 和 近 程 容 灾 的 概念 ,并 作 相 应 的 分 析 。 


3. 数据 容 灾 备份 的 等 级 


容 灾 备份 是 通过 在 异地 建立 和 维护 一 个 备份 存储 系统 ,利用 地 理 上 的 分 离 来 保证 系统 
和 数据 对 灾难 性 事件 的 抵御 能 力 。 

根据 容 灾 系 统 对 灾难 的 抵抗 程度 ,可 分 为 数据 容 灾 和 应 用 容 灾 。 数 据 容 灾 是 指 建立 一 
个 异地 的 数据 系统 ,该 系统 是 对 本 地 系统 关键 应 用 数据 的 实时 复制 。 当 出 现 灾难 时 ,可 由 异 
地 系统 迅速 接 蔡 本 地 系统 而 保证 业务 的 连续 性 。 应 用 容 灾 比 数据 容 灾 层 次 更 高 , 即 在 异地 
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建立 一 套 完整 的 ,与 本 地 数据 系统 相当 的 备份 应 用 系统 (可 以 同 本 地 应 用 系统 互 为 备份 ,也 
可 与 本 地 应 用 系统 共同 工作 ) 。 在 灾难 出 现 后 ,远程 应 用 系统 迅速 接管 或 承担 本 地 应 用 系统 
的 业务 运行 。 设 计 容 灾 备份 系统 ,需要 考虑 多 方面 的 因素 ,如 备份 /恢复 数据 量 大 小 、 应 用 数 
据 中 心 和 备 援 数据 中 心 之 间 的 距离 和 数据 传输 方式 ,灾难 发 生 时 所 要 求 的 恢复 速度 、 备 援 中 
心 的 管理 及 投入 资金 等 。 根 据 这 些 因素 和 不 同 的 应 用 场合 ,通常 可 将 容 灾 备 份 分 为 4 个 
等 级 。 

(1) 第 0 级 : 没有 备 援 中 心 。 这 一 级 容 灾 备份 ,实际 上 没有 灾难 恢复 能 力 , 它 只 在 本 地 
进行 数据 备份 ,并 且 被 备份 的 数据 只 在 本 地 保存 ,没有 送 往 异 地 。 

(2) 第 1 级: 本 地 磁带 备份 ,异地 保存 。 在 本 地 将 关键 数据 备份 ,然后 送 到 异地 保存 。 
灾难 发 生 后 , 按 预 定数 据 恢复 程序 恢复 系统 和 数据 。 这 种 方案 成 本 低 、 易 于 配置 。 但 当 数 据 
量 增 大 时 ,存在 存储 介质 难 管理 的 问题 ,并 且 当 灾难 发 生 时 存在 大 量 数据 难以 及 时 恢复 的 问 
题 。 为 了 解决 此 问题 ,灾难 发 生 时 , 先 恢复 关键 数据 ,后 恢复 非 关 键 数 据 。 

(3) 第 2 级 : 热 备份 站 点 备份 。 在 异地 建立 一 个 热 备份 点 ,通过 网 络 进行 数据 备份 。 也 
就 是 通过 网 络 以 同步 或 异步 方式 ,把 主 站 点 的 数据 备份 到 备份 站 点 ,备份 站 点 一 般 只 备份 数 
据 ,不 承担 业务 。 当 出 现 灾难 时 ,备份 站 点 接 蔡 主 站 点 的 业务 ,从 而 维护 业务 运行 的 连续 性 。 

(4) 第 3 级 : 活动 备 援 中 心 。 在 相隔 较 远 的 地 方 分 别 建立 两 个 数据 中 心 ,它们 都 处 于 工 
作 状 态 ,并 进行 相互 数据 备份 。 当 某 个 数据 中 心 发 生 灾难 时 , 另 一 个 数据 中 心 接替 其 工作 任 
务 。 这 种 级 别 的 备份 根据 实际 要 求 和 投入 资金 的 多 少 , 又 可 分 为 两 种 : 其 一 ,两 个 数据 中 心 
之 间 只 限于 关键 数据 的 相互 备份 ; 其 二 ,两 个 数据 中 心 之 间 互 为 镜像 , 即 零 数 据 丢 失 等 。 零 
数据 丢失 是 目前 要 求 最 高 的 一 种 容 灾 备份 方式 , 它 要 求 不 管 什么 灾难 发 生 , 系 统 都 能 保证 数 
据 的 安全 。 所 以 , 它 需 要 配置 复杂 的 管理 软件 和 专用 的 硬件 设备 ,需要 的 投资 相对 而 言 是 最 
大 的 ,但 恢复 速度 也 是 最 快 的 。 


4. 容 灾 备份 的 关键 技术 


在 建立 容 灾 备 份 系统 时 会 涉及 多 种 技术 ,如 SAN 或 NAS 技术 .远程 镜像 技术 .基于 IP 
的 SAN 的 互 连 技术 ,快照 技术 等 。 这 里 重点 介绍 远程 镜像 .快照 和 互 连 技术 。 

1) 远程 镜像 技术 

远程 镜像 技术 在 主 数据 中 心 和 备 援 中 心 之 间 的 数据 备份 时 用 到 。 镜 像 是 在 两 个 或 多 个 
磁盘 或 磁盘 子 系统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 过 程 , 一 个 叫 主 镜像 系统 , 男 一 
个 叫 从 镜像 系统 。 按 主 从 镜像 存储 系统 所 处 的 位 置 可 分 为 本 地 镜像 和 远程 镜像 。 远 程 镜像 
又 叫 远程 复制 ,是 容 灾 备 份 的 核心 技术 ,同时 也 是 保持 远程 数据 同步 和 实现 灾难 恢复 的 基 
础 。 远 程 镜像 按 请 求 镜像 的 主机 是 否 需要 远程 镜像 站 点 的 确认 信息 ,又 可 分 为 同步 远程 镜 
像 和 异步 远程 镜像 。 

(1) 同步 远程 镜像 (同步 复制 技术 ) 是 指 通过 远程 镜像 软件 ,将 本 地 数据 以 完全 同步 的 
方式 复制 到 异地 ,每 一 本 地 的 1/O 事务 均 需 等 待 远程 复制 的 完成 确认 信息 方 了 予以 释放 。 同 
步 镜 像 使 备份 总 能 与 本 地 机 要 求 复制 的 内 容 相 匹 配 。 当 主 站 点 出 现 故 障 时 ,用 户 的 应 用 程 
序 切换 到 备份 的 替代 站 点 后 ,被 镜像 的 远程 副本 可 以 保证 业务 继续 执行 而 没有 数据 的 丢失 。 
但 它 存在 往返 传播 造成 延 时 较 长 的 缺点 ,只 限于 在 相对 较 近 的 距离 上 应 用 。 

(2) 异步 远程 镜像 (异步 复制 技术 ) 保 证 在 更 新 远程 存储 视图 前 完成 向 本 地 存储 系统 的 
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基本 操作 ,而 由 本 地 存储 系统 提供 给 请 求 镜像 主机 的 1/O 操作 完成 确认 信息 。 远 程 的 数据 
复制 是 以 后 台 同 步 的 方式 进行 的 ,这 使 本 地 系统 性 能 受到 的 影响 很 小 ,传输 距离 长 (可 达 
1000km 以 上 ) ,对 网 络 带 宽 要 求 小 。 但 是 ,许多 远程 的 从 属 存储 子 系统 的 没有 得 到 确认 , 当 
某 种 因素 造成 数据 传输 失败 ,可 能 出 现 数据 一 致 性 问题 。 为 了 解决 这 个 问题 ,目前 大 多 采用 
延迟 复制 的 技术 (本 地 数据 复制 均 在 后 台 日 志 区 进行 ), 即 在 确保 本 地 数据 完好 无 损 后 进行 
远程 数据 更 新 。 

2) 快照 技术 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 , 即 通过 镜像 把 数据 备份 到 远程 
存储 系统 中 ,再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 .光盘 库 中 。 

快照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 ,建立 一 个 要 备份 数据 的 快照 
逻辑 单元 号 LUN 和 快照 cache。 在 快速 扫描 时 ,把 备份 过 程 中 即将 要 修改 的 数据 块 同时 快 
速 复制 到 快照 cache 中 。 快 照 LUN 是 一 组 指针 , 它 指向 快照 cache 和 磁盘 子 系统 中 不 变 的 
数据 块 (在 备份 过 程 中 )。 在 正常 业务 进行 的 同时 ,利用 快照 LUN 实现 对 原 数 据 的 一 个 完 
全 的 备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 (主要 指 容 灾 备份 系统 ) ,实时 提取 当 
前 在 线 业务 数据 。 其 “备份 窗口 "接近 于 0, 可 大 大 增加 系统 业务 的 连续 性 ,为 实现 系统 真正 
的 7X24 运转 提供 了 保证 。 

快照 是 通过 内 存 作 为 缓冲 区 (快照 cache) ,由 快照 软件 提供 系统 磁盘 存储 的 即时 数据 映 
像 , 它 存在 缓冲 区 调度 的 问题 。 

3) 互 连 技术 

早期 的 主 数据 中 心 和 备 援 数据 中 心 之 间 的 数据 备份 ,主要 是 基于 SAN 的 远程 复制 ( 镜 
像 ) , 即 通过 光纤 通道 FC 把 两 个 SAN 连接 起 来 ,进行 远程 镜像 (复制 )。 当 灾难 发 生 时 ,由 
备 援 数据 中 心 替 代 主 数据 中 心 保证 系统 工作 的 连续 性 。 这 种 远程 容 灾 备份 方式 存在 一 些 缺 
陷 , 如 实现 成 本 高 .设备 的 互 操作 性 差 ,跨越 的 地 理 距 离 短 (10km) 等 ,这 些 因素 阻碍 了 它 的 
进一步 推广 和 应 用 。 

目前 ,出 现 了 多 种 基于 IP 的 SAN 的 远程 数据 容 灾 备份 技术 。 它 们 是 利用 基于 IP 的 
SAN 的 互 连 协议 ,将 主 数据 中 心 SAN 中 的 信息 通过 现 有 的 TCP/IP 网 络 ,远程 复制 到 备 援 
中 心 SAN 中 。 当 备 援 中 心 存储 的 数据 量 过 大 时 ,可 利用 快照 技术 将 其 备份 到 磁带 库 或 光 
盘 库 中 。 这 种 基于 IP 的 SAN 的 远程 容 灾 备份 可 以 跨越 LAN、MAN 和 WAN, 成 本 低 、 可 
扩展 性 好 ,具有 广阔 的 发 展 前 景 。 基 于 IP 的 互 连 协 议 包 括 FCIP、iFCP、 Infiniband 和 
iSCSI 等 。 


5. 高 效 数据 备份 恢复 


数据 备份 恢复 速率 是 容 灾 系统 的 一 个 重要 指标 ,基于 缓存 的 高 效 数据 备份 恢复 技术 可 
以 有 效 提高 其 效率 。 

衡量 容 灾 备 份 的 两 个 技术 指标 : RPO(Recovery Point Objective) , 即 数 据 恢复 点 目标 ， 
主要 指 的 是 业务 系统 所 能 容忍 的 数据 丢失 量 ; RTO(Recovery Time Objective) , 即 恢复 时 
间 目 标 ,主要 指 的 是 所 能 容忍 的 业务 停止 服务 的 最 长 时 间 ,也 就 是 从 灾难 发 生 到 业务 系统 恢 
复 服务 功能 所 需要 的 最 短 时 间 周 期 。RPO 针对 的 是 数据 丢失 ,而 RTO 针对 的 是 服务 丢失 ， 
二 者 没有 必然 的 关联 性 。RTO 和 RPO 必须 在 进行 风险 分 析 和 业务 影响 分 析 后 根据 不 同 的 
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业务 需求 确定 。 对 于 不 同 企业 的 同一 种 业务 ,RTO 和 RPO 的 需求 也 会 有 所 不 同 。 

1) 缓存 技术 

缓存 技术 是 存储 分 层 结构 的 核心 技术 ,其 中 心思 想 是 对 于 每 个 A, 位 于 & 层 的 更 快 更 小 
的 存储 设备 作为 位 于 & 十 1 层 的 更 慢 更 大 的 存储 设备 的 缓存 。 容 灾 架 构 中 ,本 地 容 灾 服 务 器 
磁盘 系统 作为 异地 容 灾 服务 器 磁盘 系统 的 缓存 ,而 异地 容 灾 服务 器 磁带 系统 作为 其 磁盘 系 
统 的 缓存 ,以 形成 两 级 缓存 结构 。 缓 存 的 有 效 性 取决 于 缓存 算法 的 好 坏 ,因而 需要 基于 容 灾 
系统 的 数据 访问 特点 设计 适用 于 容 灾 系统 的 缓存 算法 。 在 系统 中 ,缓存 主要 用 来 实现 数据 
的 快速 备份 恢复 ,更 关注 单位 时 间 对 数据 的 恢复 频率 。 根 据 其 应 用 需求 ,设计 了 一 个 “单位 
时 间 最 少 恢复 ”缓存 算法 。 算 法 中 有 两 个 重要 指标 : 对 数据 的 恢复 次 数 ; 数据 在 磁盘 、 磁 带 
上 停留 的 时 间 。 单 位 时 间 最 少 恢复 缓存 算法 描述 如 下 : 虚拟 文件 系统 为 每 个 数据 块 设置 一 
个 与 其 相关 的 状态 变量 ,记录 数据 块 恢 复 次 数 。 而 需要 执行 数据 块 替换 的 时 刻 有 两 个 : 

(1) 本 地 容 灾 磁 盘 系 统 饱和 时 。 计 算 单 位 时 间 数 据 块 恢复 次 数 ,将 次 数 最 少 的 人 个 数 
据 块 换 出 (的 大 小 取决 于 用 户 的 数据 平均 备份 量 )。 

(2) 需要 恢复 存放 在 异地 的 数据 块 时 。 计 算 这 些 需 要 恢复 的 数据 块 的 单位 时 间 数 据 块 
恢复 次 数 ,并 选择 本 地 间 等 数量 的 单位 时 间 数 据 块 恢复 次 数 最 少 的 数据 块 与 之 比较 ,将 异地 
大 于 本 地 部 分 的 数据 块 换 入 。 如 果 没 有 大 于 部 分 , 则 不 执行 换 入 操作 。 

2) 基于 缓存 的 高 效 数据 恢复 技术 

快速 恢复 策略 是 在 本 地 与 异地 磁盘 系统 间 实 现 的 。 容 灾 服 务 器 在 为 用 户 创建 虚拟 卷 
时 ,根据 用 户 申请 的 卷 大 小 为 其 备份 容量 设置 一 个 上 限 值 (小 于 申请 的 卷 大 小 )。 在 执行 备 
份 操作 时 ,将 每 一 次 执行 的 新 备份 的 数据 在 本 地 、 异 地 容 灾 系 统 中 各 保留 一 份 备份 ( 先 复制 
到 本 地 ,再 异步 地 传输 到 异地 )。 当 本 地 备份 容量 超过 上 限 值 时 , 则 根据 单位 时 间 最 少 恢复 
算法 删除 超越 量 大 小 的 数据 块 。 

在 执行 恢复 操作 时 , 先 查 询 本 地 是 否 保留 了 备份 ,如 果 有 , 则 直接 恢复 ; 如 果 没有 , 则 从 
异地 恢复 ,并 根据 单位 时 间 最 少 恢复 算法 决定 是 否 要 将 相关 的 数据 块 在 本 地 保留 一 份 备份 。 
根据 数据 访问 时 间 局 域 性 原理 ,基于 这 种 算法 的 缓存 命中 率 较 高 ,有 效 地 实现 了 高 效 数据 备 
份 恢 复 策略 ,并且 在 执行 数据 迁移 时 ,运用 了 数据 自动 迁移 技术 ,整个 变换 过 程 对 用 户 透 明 。 
备份 数据 的 安全 性 比 数据 备份 本 身 更 为 重要 。 针 对 备份 数据 的 安全 问题 , 先 分 析 了 虚拟 磁 
盘 技术 ,然后 设计 一 个 基于 该 技术 且 适 用 于 容 灾 系 统 的 加 密 机 制 , 并 描述 了 其 在 容 灾 系 统 中 
的 应 用 。 

3) 虚拟 磁盘 技术 

虚拟 磁盘 驱动 程序 与 一 般 物理 磁盘 驱动 程序 的 层次 结构 基本 一 致 ,所 不 同 的 只 是 虚拟 
磁盘 驱动 程序 不 直接 访问 物理 磁盘 设备 ,而 是 以 访问 物理 磁盘 的 方式 来 访问 一 个 卷 文 件 ,将 
这 个 卷 文件 虚拟 成 一 个 磁盘 。 其 核心 功能 主要 是 负责 响应 1/O 管理 器 发 送 给 虚拟 磁盘 的 
IRP; 根据 接收 到 的 IRP 的 功能 代码 来 调用 相应 的 分 派 函 数 ,对 卷 文件 执行 IRP 所 要 求 的 
具体 操作 ,然后 做 出 正确 的 回复 。 这 里 面 最 重要 的 1/O 请 求 是 虚拟 磁盘 的 加 载 、 印 载 以 及 
读 、 写 请 求 。 在 虚拟 磁盘 驱动 程序 中 戏 入 一 个 加 解密 模块 。 在 驱动 程序 处 理 1/O 请 求 的 过 
程 中 ,调用 这 个 加 解密 模块 对 虚拟 磁盘 的 数据 流 进行 实时 的 加 解密 处 理 。 

读 写 数据 时 的 加 解密 流程 : 当 虚 拟 磁 盘 驱 动 程序 收 到 写 数据 请 求 的 IRP 时 ,就 调用 加 
密 模块 对 IRP 中 的 明文 数据 进行 加 密 , 然 后 将 密 文 写 到 卷 文件 中 ; 当 虚 拟 磁盘 驱动 程序 收 
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到 读数 据 请 求 的 IRP 时 , 先 从 卷 文 件 中 读 出 密 文 数据 ,然后 调用 解密 模块 进行 解密 ,再 将 明 
文 写 到 IRP 的 数据 区 中 返回 给 应 用 程序 。 通 过 这 样 的 方式 即 可 实现 对 保存 到 虚拟 磁盘 中 
的 文件 加 密 , 对 从 虚拟 磁盘 中 读 取 的 文件 解密 。 

4) 基于 虚拟 磁盘 的 备份 数据 加 密 保护 技术 

基于 虚拟 磁盘 的 卷 文 件 可 以 以 任何 文件 形式 显示 ,从 外 观 上 看 与 其 他 文件 一 样 ,存储 方 
式 也 一 样 。 客 户 端 代理 程序 将 用 户 的 敏感 备份 数据 存 人 创建 的 卷 文件 中 ,然后 将 卷 文 件 同 
其 他 文件 一 起 备份 存储 到 容 灾 服 务 器 端 。 当 用 户 需 要 访问 备份 数据 时 , 先 提供 正确 的 密 钥 ， 
卷 文件 以 虚拟 磁盘 的 形式 挂 载 。 用 户 以 访问 普通 物理 卷 的 方式 访问 该 虚拟 卷 ,并 且 可 以 任 
意 修改 、 添 加、 删除 里 面 的 数据 。 如 果 用 户 不 能 提供 正确 的 密 钥 , 则 卷 文件 不 能 正常 打开 。 

这 种 在 操作 系统 内 核 模式 下 进行 的 加 解密 过 程 具 有 较 高 的 效率 和 安全 性 ,而 且 对 上 层 
的 文件 系统 驱动 和 应 用 程序 没有 任何 影响 。 这 种 方式 同时 保证 了 数据 在 传输 链 路 和 服务 器 
端的 安全 。 


fo.5 云 计 算 安 全 


本 节 将 介绍 云 计 算 的 基本 概念 . 云 计算 安全 问题 . 云 计 算 安 全 的 基本 概念 、 云 计算 安全 
需求 . 云 计算 安全 体系 架构 和 云 计算 安全 标准 。 


10.5.1 云 计 算 概述 
1. 云 计算 概念 


狭义 云 计算 指 IT 基础 设施 的 交付 和 使 用 模式 , 指 通过 网 络 以 按 需 、 易 扩展 的 方式 获得 
所 需 资源 。 广 义 云 计算 指 服务 的 交付 和 使 用 模式 , 指 通 过 网 络 以 按 需 、 易 扩展 的 方式 获得 所 
需 服 务 。 这 种 服务 可 以 是 IT 和 软件 .互联 网 相关 ,也 可 是 其 他 服务 。 云 计算 的 核心 思想 是 
将 大 量 用 网 络 连 接 的 计算 资源 统一 管理 和 调度 ,构成 一 个 计算 资源 池 向 用 户 按 需 服务 。 提 
供 资源 的 网 络 称 为 " 云 "。“ 云 "中 的 资源 在 使 用 者 看 来 是 可 以 无 限 扩展 的 ,并 且 可 以 随时 获 
取 , 按 需 使 用 ,随时 扩展 , 按 使 用 付费 。 

云 计算 是 网 格 计算 ,分 布 式 计算 .并行 计 算 、 效 用 计算 、 网 络 存储 、 虚 拟 化 、 负 载 均衡 等 传 
统计 算 机 和 网 络 技 术 发 展 融合 的 产物 。 事 实 上 ,许多 云 计算 部 署 依赖 于 计算 机 集群 (但 与 网 
格 的 组 成 ,体系 机 构 、. 目 的 .工作 方式 大 相 径 庭 ) ,也 吸收 了 自主 计算 和 效用 计算 的 特点 。 通 
过 使 计算 分 布 在 大 量 的 分 布 式 计算 机 上 ,而 非 本 地 计算 机 或 远程 服务 器 中 ,企业 数据 中 心 的 
运行 与 互联 网 更 相似 。 这 使 得 企业 能 够 将 资源 切换 到 需要 的 应 用 上 ,根据 需求 访问 计算 机 
和 存储 系统 。 好 比 是 从 古老 的 单 台 发 电机 模式 转向 了 电厂 集中 供电 的 模式 。 它 意味 着 计算 
能 力也 可 以 作为 一 种 商品 进行 流通 ,就 像 煤 气 、 水 电 一 样 , 取 用 方便 ,费用 低廉 。 最 大 的 不 同 
在 于 它 是 通过 互联 网 进行 传输 的 。 


2. 云 计 算 服务 


云 计 算 可 以 认为 包括 以 下 几 个 层次 的 服务 : 基础 设施 即 服务 (IaaS)、 平 台 即 服务 
(PaaS) 和 软件 即 服务 (SaaS)。 云 计算 服务 通常 提供 通用 的 通过 浏览 器 访问 的 在 线 商 业 应 
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用 ,软件 和 数据 可 存储 在 数据 中 心 。 

(1) IaaS(Infrastructure-as-a-Service) : 消费 者 通过 Internet 可 以 从 完善 的 计算 机 基础 
设施 获得 服务 。 

(2) PaaS(Platform-as-a-Service) : PaaS 实际 上 是 指 将 软件 研发 的 平台 作为 一 种 服务 ， 
以 SaaS 的 模式 提交 给 用 户 。 因 此 ,PaaS 也 是 SaaS 模式 的 一 种 应 用 。 但 是 ,PaaS 的 出 现 可 
以 加 快 SaaS 的 发 展 ,尤其 是 加 快 SaaS 应 用 的 开发 速度 。 

(3) SaaS(Software-as-a-Service) : SaaS 是 一 种 通过 Internet 提供 软件 的 模式 ,用 户 无 
须 购买 软件 ,而 是 向 提供 商 租用 基于 Web 的 软件 来 管理 企业 经 营 活动 。 相 对 于 传统 的 软 
件 ,SaaS 解决 方案 有 明显 的 优势 ,包括 较 低 的 前 期 成 本 ,便于 维护 ,快速 展开 使 用 等 。 


3. 云 计算 体系 架构 


云 计算 的 3 级 分 层 : 云 软件 、 云 平台 、 云 设备 ,如 图 10-6 客户 端 
所 示 。 应 用 程序 

(1) 上 层 分 级 。 云 软件 打破 以 往 大 厂 垄 断 的 局 面 ,所 有 人 E 台 
都 可 以 在 上 面 自由 挥 酒 创 意 , 提 供 各 式 各 样 的 软件 服务 。 参 与 基础 设备 
者 是 世界 各 地 的 软件 开发 者 。 服务 器 


(2) 中 层 分 级 。 云 平台 打造 程序 开发 平台 与 操作 系统 平 ”图 10-6 云层 次 结构 
人 台 , 让 开发 人 员 可 以 通过 网 络 撰 写 程序 与 服务 ,一般 消费 者 也 可 
以 在 上 面 运行 程序 。 参 与 者 是 Google、 微 软 、 苹 果 、Yahoo。 

(3) 下 层 分 级 。 云 设备 将 基础 设备 (如 IT 系统 数据 库 等 ) 集 成 起 来 , 像 旅馆 一 样 ,分隔 
成 不 同 的 房间 供 企业 租用 。 参 与 者 是 英 业 达 、IBM ,戴尔 . 升 阳 、. 惠 普 、. 亚 马 逊 。 

大 部 分 的 云 计算 基础 构架 是 由 通过 数据 中 心 传送 的 可 信赖 的 服务 和 创建 在 服务 器 上 的 
不 同 层次 的 虚拟 化 技术 组 成 的 。 人 们 可 以 在 任何 提供 网 络 基础 设施 的 地 方 使 用 这 些 服务 。 
“ 云 ”通常 表现 为 对 所 有 用 户 的 计算 需求 的 单一 访问 点 。 人 们 通常 希望 商业 化 的 产品 能 够 满 
足 服务 质量 (QoS) 的 要 求 ,并 且 一 般 情况 下 要 提供 服务 水 平 协议 。 开 放 标 准 对 于 云 计算 的 
发 展 是 至 关 重 要 的 ,并 且 开 源 软件 已 经 为 众多 的 云 计 算 实例 提供 了 基础 。 

云 的 基本 概念 是 通过 网 络 将 庞大 的 计算 处 理 程序 自动 分 拆 成 无 数 个 较 小 的 子 程序 ,再 
由 多 部 服务 器 所 组 成 的 庞大 系统 搜索 .计算 分 析 之 后 将 处 理 结果 回 传 给 用 户 。 通 过 这 项 技 
术 , 远 程 的 服务 供应 商 可 以 在 数秒 之 内 达成 处 理 数 以 千 万 计 其 至 亿 计 的 信息 ,达到 和 “超级 
计算 机 ”同样 强大 性 能 的 网 络 服 务 。 它 可 分 析 DNA 结构 、 基 因 图 谱 定 序 、 解 析 癌 症 细胞 等 
高 级 计算 ,例如 Skype 以 点 对 点 (P2P) 方 式 来 共同 组 成 单一 系统 ; 又 如 Google 通过 
MapReduce 架构 将 数据 拆 成 小 块 计算 后 再 重组 回来 ,而 且 BigTable 技术 完全 跳 脱 一 般 数 
据 库 数 据 运 作 方 式 , 以 row 设计 存储 又 完全 地 配合 Google 自己 的 文件 系统 (Google 文件 系 
统 ) ,以 帮助 数据 快速 穿 过 “ 云 ”。 


4. 云 计算 与 物 联网 的 关系 


李 红 和 薛 礼 在 文章 * 云 计算 与 物 联 网 (硅谷 ,2012-9) 中 讨论 了 云 计 算 与 物 联网 的 关系 。 
他 们 认为 : 云 计算 是 实现 物 联 网 的 核心 。 物 联网 需要 三 大 支撑 : 一 是 用 于 感知 的 传感器 设 
备 ; 二 是 物 联网 设备 互相 联动 时 彼此 之 间 需 要 传输 大 量 信息 的 传输 设施 ; 三 是 控制 和 支配 
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对 象 的 , 且 动 态 运行 ,效率 极 高 的 .可 大 规模 扩展 的 智能 处 理 中 心 ,也 就 是 计算 资源 处 理 中 
心 。 这 个 资源 处 理 中 心 ,目前 普遍 采用 的 架构 环节 就 是 云 计 算 。 利 用 云 计算 模式 ,可 以 处 理 
海量 数据 ,并 能 实时 动态 管理 和 即时 智能 分 析 , 并 通过 无 线 或 有 线 传输 动态 信息 送 达 计算 资 
源 处 理 中 心 ,进行 数据 的 汇总 、 分 析 、 管 理 、 处 理 , 从 而 将 各 种 物体 连接 。 

云 计 算 机 成 为 互联 网 和 物 联网 融合 的 纽带 。 自 从 “智慧 地 球 ” 说 法 被 提出 后 ,通信 技术 
突飞猛进 地 发 展 , 物 联网 和 互联 网 也 需要 更 深层 次 的 融合 ,需要 大 容量 信息 存储 与 处 理 的 计 
算 中 心 正 是 云 计 算 所 承载 的 主要 功能 。 另 外 , 云 计 算 所 提供 的 创新 型 的 支付 服务 方式 也 推 
进 了 物 联网 和 互联 网 融合 的 进程 ,促进 了 二 者 内 部 的 互联 互通 ,为 新 的 商业 模式 提供 了 导向 
与 技术 平台 支撑 。 

云 计算 和 物 联 网 技术 作为 信息 技术 界 新 兴 的 技术 处 于 起 步 完成 与 成 熟 阶段 ,目前 存 有 
一 些 尚 待 解决 的 问题 ,例如 安全 问题 。 随 着 互联 网 的 发 展 ,计算 机 病毒 层出不穷 ,从 伤害 个 
人 信息 与 数据 ,到 影响 国家 重要 信息 安全 。 而 基于 互联 网 信息 传输 的 物 联网 技术 和 云 计算 
技术 也 存在 着 严重 的 安全 隐患 。 


10.5.2 云 计 算 安全 问题 
1. 云 计算 对 信息 安全 领域 带 来 的 冲击 


从 目前 来 看 ,实现 云 计算 安全 至 少 应 解决 关键 技术 标准 与 法 规 建设 以 及 国家 监督 管理 
制度 等 多 个 层次 的 挑战 。 冯 登 国 等 在 (软件 学 报 (2011)) 发 表 文章 * 云 计算 安全 研究 ”提出 了 
云 计 算 存 在 的 安全 问题 。 

挑战 1: 研究 云 计算 安全 需要 重点 分 析 与 解决 云 计算 的 服务 计算 模式 ,动态 虚拟 化 管理 
方式 以 及 多 租户 共享 运营 模式 等 对 数据 安全 与 隐私 保护 带 来 的 挑战 。 云 计算 服务 计算 模式 
所 引发 的 安全 问题 , 云 计算 的 动态 虚拟 化 管理 方式 引发 的 安全 问题 和 云 计算 中 多 层 服 务 模 
式 引 发 的 安全 问题 。 

挑战 2: 建立 云 计算 安全 标准 及 其 测评 体系 的 挑战 在 于 以 下 几 点 : 云 计 算 安全 标准 应 
支持 更 广义 的 安全 目标 , 云 计算 安全 标准 应 支持 对 灵活 、 复 杂 的 云 服务 过 程 的 安全 评估 和 云 
计算 安全 标准 应 规定 云 服 务 安全 目标 验证 的 方法 和 程序 。 

挑战 3: 与 互联 网 监控 管理 体系 相 比 ,实现 云 计算 监控 管理 必须 解决 以 下 几 个 问题 : 实 
现 基于 云 计算 的 安全 攻击 的 快速 识别 、 预 警 与 防护 。 实 现 云 计 算 内 容 监控 和 识别 并 防止 基 
于 云 计 算 的 密码 类 犯罪 活动 。 


2. 云 计算 中 的 具体 安全 威胁 


斐 小 燕 和 张 尼 在 《信息 通信 技术 (2012-1)》 发 表 文章 * 浅 析 云 计算 安全 ”, 对 云 中 数据 安 
全 ,应 用 安全 、 虚 拟 化 安全 、 云 服务 滥用 等 问题 进行 了 分 析 和 归纳 。 

1) 云 中 数据 安全 

云 计算 环 境 下 ,用 户 所 有 数据 直接 存储 在 云 中 ,在 需要 时 直接 从 云端 下 载 使 用 。 用 户 使 
用 的 软件 由 服务 商 统一 部 署 在 云端 运行 ,软件 维护 由 服务 商 来 完成 , 当 终端 出 现 故 障 时 不 会 
对 用 户 造 成 影响 ,用 户 只 需要 更 换 终 端 , 接 入 云 服务 就 可 以 获得 数据 。 实 现 上 述 描述 的 前 提 
是 云 服 务 商 需 要 具备 完善 的 数据 安全 机 制 。 
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2) 应 用 安全 

由 于 云 环境 的 灵活 性 、 开 放 性 以 及 公众 可 用 性 等 特性 ,给 应 用 安全 带 来 了 挑战 。 云 服务 
商 在 部 署 应 用 程序 时 应 当 充分 考虑 未 来 可 能 引发 的 安全 风险 。 对 于 使 用 云 服务 的 用 户 而 
言 ,应 提高 安全 意识 ,采取 必要 措施 ,保证 云 终端 的 安全 。 例 如 ,用户 可 以 在 处 理 敏 感 数据 的 
应 用 程序 服务 器 之 间 通 信和 时 采用 加 密 技术 ,以 确保 其 机 密 性 。 云 用 户 应 定期 自动 更 新 ,及 时 
为 使 用 云 服务 的 应 用 打 补 丁 或 更 新 版 本 。 

3) 虚拟 化 安全 

Gartner 公司 研究 表明 ,60% 的 虚拟 化 服务 器 比 物理 基础 设施 更 容易 遭 到 攻击 ,不 是 因 
为 虚拟 化 本 身 不 安全 ,而 在 于 系统 配置 方面 。40% 的 虚拟 化 部 署 在 最 初 的 架构 和 规划 阶段 
甚至 都 没有 考虑 到 IT 安全 因素 。Gartner 建议 安全 流程 应 该 扩展 到 虚拟 化 管理 程序 和 虚 
拟 机 监视 器 方面 。 虚 拟 化 层 可 能 包含 嵌入 的 和 没有 发 现 的 安全 漏洞 ,这 些 安全 漏洞 一 旦 被 
利用 ,将 会 对 云 系统 造成 严重 影响 。 虚 拟 化 技术 为 云 计算 引入 的 风险 包括 两 个 方面 , 即 虚拟 
化 软件 安全 和 虚拟 服务 器 的 安全 。 

4) 云 服务 滥用 

(1) 云 计算 平台 为 用 户 提 供 低 门槛 的 使 用 接口 ,用 户 不 需要 自行 维护 服务 器 、 网 络 ,只 
需 专注 于 自身 业务 。 用 户 可 以 通过 互联 网 申请 云 计算 平台 中 的 资源 ,而 且 这 种 资源 的 使 用 
是 按 需 付费 的 ,这 就 意味 着 使 用 资源 进行 信息 发 布 与 运营 的 能 力 是 可 扩展 的 。 然 而 不 法 分 
子 也 同样 可 以 利用 云 平 台 的 这 种 能 力 ,如 利用 庞大 的 网 络 资源 和 计算 资源 ,组 织 大 规模 
DDoS 攻击 ,这 样 的 攻击 往往 难以 防范 及 溯源 。 

(2) 如 果 云 计算 服务 被 国外 巨头 垄断 ,这 些 垄 断 巨头 及 其 背后 的 政治 势力 可 以 借 此 对 
我 国 进行 远程 监测 和 控制 ,并 通过 对 用 户 整体 情况 进行 统计 分 析 , 获 取 我 国 与 情 动向 、 经 济 
运行 情况 等 重要 数据 。 同 时 ,还 可 以 有 针对 性 地 向 我 国 推送 反动 有 害 等 信息 。 这 些 都 将 对 
我 国政 治 .经 济 文化 安全 构成 极 大 威胁 。 


10.5.3 云 计算 安全 概念 


以 下 根据 段 翼 真 (2012) 和 房 晶 (2012) 的 观点 进行 了 综合 以 后 ,就 云 计算 安全 概念 、 现 状 
与 关键 技术 进行 阐述 。 


1. 云 计 算 安全 的 定义 


在 云 计 算出 现 之 后 , 云 计 算 与 安全 有 着 密切 的 联系 ,产业 界 .学 术 界 因此 提出 了 云 安全 
的 概念 。 对 于 “ 云 安 全 ”一 词 ,目前 还 没有 明确 的 定义 。 但 是 , 云 安全 可 以 从 两 方面 来 理解 。 
第 一 , 云 计算 本 身 的 安全 通常 称 为 云 计算 安全 ,主要 是 针对 云 计算 自身 存在 的 安全 隐患 , 研 
究 相 应 的 安全 防护 措施 和 解决 方案 ,如 云 计算 安全 体系 架构 、 云 计算 应 用 服务 安全 、 云 计算 
环境 的 数据 保护 等 , 云 计算 安全 是 云 计 算 健康 可 持续 发 展 的 重要 前 提 。 第 二 , 云 计算 在 信息 
安全 领域 的 具体 应 用 称 为 安全 云 计算 ,主要 利用 云 计算 架构 ,采用 云 服务 模式 ,实现 安全 的 
服务 化 或 者 统一 安全 监控 管理 ,如 瑞星 的 云 查 杀 模 式 和 360 的 云 安全 系统 。 


2. 云 计算 安全 的 特征 
由 于 云 计算 资源 虚拟 化 、 服 务 化 的 特有 属性 ,与 传统 安全 相 比 , 云 计算 安全 具有 一 些 新 
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的 特征 : 

(1) 传统 的 安全 边界 消失 。 在 传统 安全 中 ,通过 在 物理 上 和 逻辑 上 划分 安全 域 ,可 以 清 
楚 地 定义 边界 ,但 是 由 于 云 计算 采用 虚拟 化 技术 以 及 多 租户 模式 ,传统 的 物理 边界 被 打破 ， 
基于 物理 安全 边界 的 防护 机 制 难以 在 云 计算 环境 中 得 到 有 效 的 应 用 。 

(2) 动态 性 。 在 云 计算 环境 中 ,用 户 的 数量 和 分 类 不 同 , 变 化 频率 高 ,具有 动态 性 和 移 
动 性 强 的 特点 ,其 安全 防护 也 需要 进行 相应 的 动态 调整 。 

(3) 服务 安全 保障 。 云 计算 采用 服务 的 交互 模式 ,涉及 服务 的 设计 、 开 发 和 交付 ,需要 
对 服务 的 全 生命 周期 进行 保障 ,确保 服务 的 可 用 性 和 机 密 性 。 

(4) 数据 安全 保护 。 在 云 计 算 中 数据 不 在 当地 存储 ,数据 加 密 、 数 据 完整 性 保护 、 数 据 
恢复 等 数据 安全 保护 手段 对 于 数据 的 私密 性 和 安全 性 更 加 重要 。 

(5) 第 三 方 监 管 和 审计 。 由 于 云 计算 的 模式 ,使 得 服务 提供 商 的 权利 巨大 ,导致 用 户 的 
权利 可 能 难以 保证 ,如 何 确保 和 维护 两 者 之 间 平 衡 ,需要 有 第 三 方 监 管 和 审计 。 


3. 传统 安全 和 云 计算 安全 的 比较 


云 计算 运营 和 传统 IT 网 络 不 同 。 由 于 云 计算 最 初 是 在 企业 内 部 网 络 运行 的 ,并 不 对 
外 开放 ,在 设计 之 初 没有 太 多 考虑 安全 性 问题 ,从 而 导致 了 现在 云 计算 安全 的 一 系列 
问题 。 

(1) 传统 的 IT 系统 是 封闭 的 ,存在 于 企业 内 部 ,对 外 暴露 的 只 是 网 页 服务 器 .邮件 服务 
器 等 少数 接口 ,因此 只 需要 在 出 口 设置 防火 墙 ,访问 控制 等 安全 措施 ,就 可 以 解决 大 部 分 安 
全 问题 。 但 在 云 环境 下 , 云 暴露 在 公开 的 网 络 中 ,任何 一 个 节点 及 它们 的 网 络 都 可 能 受到 攻 
击 , 因 此 安全 模式 需要 从 * 拒 敌 于 国门 之 外 ?改变 为 "全民 皆 兵 , 处 处 作战 ”。 

(2) 相对 于 传统 的 计算 模式 将 信息 保存 在 自己 可 控制 的 环境 中 ,在 云 计 算 环境 下 ,信息 
保存 在 云 中 ,数据 拥有 和 管理 分 离 ,怎样 做 好 数据 的 隔离 和 保密 是 一 个 很 大 的 问题 。 

(3) 在 云 环境 下 ,用户 的 服务 系统 更 新 和 升级 大 多 数 是 由 用 户 在 远程 执行 的 ,而 不 是 采 
取 传 统 (在 本 地 按 版 本 更 新 ) 的 方式 ,每 一 次 升级 都 可 能 带 来 潜在 的 安全 问题 和 对 原 有 安全 
策略 的 挑战 。 

(4) 云 计算 环境 相 比 之 前 的 技术 ,大 量 运用 虚拟 化 技术 ,怎样 解决 虚拟 化 方面 的 安全 是 
云 计算 安全 与 传统 安全 的 又 一 重大 区 别 。 

(5) 除了 技术 方面 ,还 有 一 个 比较 重大 的 问题 。 传 统 的 安全 技术 已 经 出 现 多 年 ,标准 、 
法 律 ,法规 都 相对 成 熟 ,现在 的 云 计算 安全 缺少 标准 ,而 且 政 策 法 规 也 不 健全 ,再 加 上 云 计算 
自身 的 特点 ,数据 可 以 存储 在 世界 的 任何 一 个 角落 , 当 出 现 问 题 时 ,国家 政策 的 不 同 也 是 云 
计算 安全 的 一 个 重大 挑战 。 


10.5.4 云 计算 安全 需求 


以 美国 国家 标准 技术 研究 院 (NIST) 定 义 的 3 层次 云 计算 架构 和 服务 模式 为 基础 的 云 
计算 安全 体系 架构 总 体 模型 如 图 10-7 所 示 。 就 云 计算 的 保护 对 象 来 说 ,3 种 云 服务 模式 对 
应 3 层次 的 安全 保护 模型 。 基 础 设施 安全 需要 保护 IaaS 层 即 云 基础 架构 的 安全 ,包括 一 些 
网 络 设施 、 硬 件 、 操 作 系统 和 计算 资源 等 ; 平台 安全 保护 PaaS 层 即 云 开 发 平台 的 安全 ,包括 
接口 .中 间 件 和 平台 应 用 软件 等 ; 应 用 软件 安全 保护 SaaS 层 即 云 应 用 的 安全 , 即 保护 网 络 
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上 传输 的 数据 和 内 容 的 安全 ,保护 使 用 者 身份 的 合法 性 和 应 用 的 可 用 性 等 。 同 时 ,终端 安全 
防护 使 用 云 服务 的 最 终 用 户 的 应 用 安全 。 为 保障 云 计算 的 安全 运行 ,安全 管理 .法规 执行 和 
实际 监管 贯穿 整个 云 计算 服务 。 从 管理 方面 实施 的 安全 控制 是 支撑 云 计算 实现 安全 目标 的 
基础 。 因 此 ,掌握 云 计算 服务 模型 和 技术 特性 ,明确 安全 目标 是 分 析 云 计算 安全 需求 的 关 
键 。 肖 红 跃 , 张 文 科 和 刘 桂 芬 在 (信息 安全 与 通信 保密 》(2012-11) 发 表 文章 “ 云 计算 安全 需 
求 综述 ”, 下 面 是 主要 内 容 思 想 : 

按照 图 10-7 所 示 ,系统 化 的 云 计 算 安全 需求 分 析 应 包括 云 中 心 ( 云 计算 的 3 层 服务 架 
构 ) 安 全 终端 安全 ,安全 管理 以 及 法 规 遵从 等 6 个 方面 。 
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图 10-7 云 计算 安全 体系 架构 模型 


1. 基础 设施 安全 需求 


(1) 物理 安全 。 物 理 安全 是 指 云 计算 所 依赖 的 物理 环境 安全 。 云 计算 在 物理 安全 上 面 
临 多 种 威胁 ,这 些 威胁 通过 破坏 信息 系统 的 完整 性 、 可 用 性 或 保密 性 ,造成 服务 中 断 或 基础 
设施 的 毁灭 性 破坏 。 物 理 安全 需求 包括 设备 安全 、 环 境 安全 以 及 灾难 备份 与 恢复 ,边境 保 
护 、 设 备 管理 ,资源 利用 等 方面 。 

(2) 计算 环境 安全 。 计 算 环境 安全 是 指 构成 云 计算 基础 设施 的 硬件 设备 的 安全 保障 及 
驱动 硬件 设施 正常 运行 的 基础 软件 的 安全 。 若 承担 系统 核心 计算 能 力 的 设备 和 系统 缺乏 必 
要 的 自身 安全 和 管理 安全 措施 ,所 带 来 的 威胁 最 终 将 导致 所 处 理 数 据 的 不 安全 。 安 全 需求 
应 包括 硬件 设备 需要 必要 的 自身 安全 和 管理 安全 措施 ,基础 软件 需要 安全 、 可 靠 和 可 信 , 设 
备 性 能 稳定 ,以 及 为 确保 云 服务 持续 可 用 性 的 完备 的 灾 备 恢复 计划 。 

(3) 存储 安全 。 数 据 集 中 和 新 技术 的 采用 是 产生 云 存储 安全 问题 的 根源 。 存 储 安全 需 
求 包括 ,采用 适应 云 计 算 特 点 的 数据 加 密 和 数据 隔离 技术 防止 数据 泄露 和 窃取 ; 采用 访问 
控制 等 手段 防止 数据 滥用 和 非 授权 使 用 ; 防止 数据 残留 ,以 及 多 租户 之 间 的 信息 资源 需 进 
行 有 效 的 隔离 ; 多 用 户 密 钥 管 理 必须 要 求 密 钥 隔离 存储 和 加 密 保护 ,加 密 数 据 的 密 钥 明文 
不 出 现在 任何 第 三 方 的 载体 中 , 且 只 能 由 用 户 自 己 掌握 ; 完善 的 数据 灾 备 与 恢复 。 

(4) 虚拟 化 安全 。 虚 拟 化 和 弹性 计算 技术 的 采用 ,使 得 用 户 的 边界 模糊 , 带 来 一 系列 比 
在 传统 方式 下 更 突出 的 安全 风险 ,如 虚拟 机 逃逸 .虚拟 机 镜像 文件 泄露 .虚拟 网 络 攻击 .虚拟 
化 软件 漏洞 等 安全 问题 。 虚 拟 化 安全 防范 需求 主要 包括 虚拟 系统 软件 安全 、 虚 拟 机 隔离 、 虚 
拟 化 网 络 和 通信 安全 、 虚 拟 机 安全 迁移 等 。 
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2. 平台 安全 需求 


PaaS 的 本 质 在 于 将 基础 设施 类 的 服务 升级 抽象 成 为 可 应 用 化 的 接口 ,为 用 户 提供 开发 
和 部 署 平台 ,建立 应 用 程序 。 因 此 ,安全 需求 包括 : 

(1) API 接口 及 中 间 件 安全 。 在 API 接口 及 中 间 件 安全 方面 要 做 到 : 保证 API 接口 的 
安全 ; 防止 非法 访问 ; 保证 第 三 方 插件 安全 ; 保证 API 软件 的 完整 性 。 

(2) 保证 服务 可 用 性 。PaaS 服务 的 可 用 性 风险 是 用 户 不 能 得 到 云 服务 提供 商 提 供 服 
务 的 连续 性 。2009 年 ,Google 的 云 计算 平台 发 生 故 障 , 微 软 Azure 云 计 算 平台 彻底 崩溃 ,使 
用 户 损失 了 大 量 的 数据 。 云 服务 提供 商 必须 要 有 服务 质量 和 应 急 预 案 , 当 发 生 系统 故障 时 ， 
如 何 保证 用 户 数 据 的 快速 恢复 是 一 个 重要 的 安全 需求 。 

(3) 可 移植 性 安全 。 目 前 ,对 于 PaaSAPI 的 设计 还 没有 统一 的 标准 ,因此 跨越 PaaS 平 
台 的 应 用 程序 移植 相当 困难 ,API 标准 的 缺乏 影响 了 跨越 云 计算 的 安全 管理 和 应 用 程序 的 
移植 。 


3. 应 用 软件 安全 需求 


应 用 软件 服务 安全 需求 包括 数据 安全 、 内 容 安全 和 应 用 安全 。 

(1) 数据 安全 。 这 里 主要 指 动态 数据 安全 问题 ,包括 用 户 数据 传输 安全 、 用 户 隐私 安全 
和 数据 库 安 全 问题 ,如 数据 传输 过 程 或 缓存 中 的 泄露 .非法 算 改 ,窃取 以 及 病毒 ,数据库 漏洞 
破坏 等 。 因 此 ,需要 确保 用 户 在 使 用 云 服务 软件 过 程 中 的 所 有 数据 在 云 环境 中 传输 和 存储 
时 候 的 安全 。 

(2) 内 容 安全 。 由 于 云 计算 环境 的 开放 性 和 网 络 复杂 性 ,内 容 安全 面临 主要 的 威胁 包 
括 非 授权 使 用 ,非法 内 容 传 播 或 算 改 。 内 容 安全 需求 主要 是 版 权 保 护 和 对 有 害 信 息 资源 内 
容 实现 可 测 、 可 控 、 可 管 。 

(3) 应 用 安全 。 云 计算 应 用 安全 要 建立 在 身份 认证 和 实现 对 资源 访问 权限 控制 的 基础 
上 。 云 应 用 需要 防止 以 非法 手段 窃取 用 户口 令 或 身份 信息 ,采用 口令 加 密 、 身 份 联合 管理 和 
权限 管理 等 技术 手段 ,实现 单 点 登录 应 用 和 跨 信任 域 的 身份 服务 。 对 于 提供 大 量 快 速 应 用 
的 SaaS 服务 商 来 说 ,需要 建立 可 信和 可 靠 的 认证 管理 系统 和 权限 管理 系统 作为 保障 云 计算 
安全 运营 的 安全 基础 设施 。Web 应 用 安全 需求 重点 要 关注 传输 信息 保护 、Web 访问 控制 、 
抗拒 绝 服 务 等 。 


4. 终端 安全 防护 需求 


云端 使 用 浏览 器 来 接 入 云 计算 中 心 ,以 访问 云 中 的 IaaS、PaaS 或 SaaS 服务 , 接 人 端的 
安全 性 直接 影响 到 云 计算 的 服务 安全 。 

(1) 终端 浏览 器 安全 。 终 端 浏览 器 是 接收 云 服务 并 与 之 通信 的 唯一 工具 ,浏览 器 自身 
漏洞 可 能 使 用 户 的 密 钥 或 口令 泄露 ,为 保护 浏览 器 和 终端 系统 的 安全 ,重点 需要 解决 终端 安 
全 防护 问题 ,如 反 恶 意 软件 漏洞 扫描 ,非法 访问 和 抗 攻击 等 。 

(2) 用 户 身 份 认证 安全 。 终 端 用 户 身 份 盗 用 风险 主要 表现 在 因 木 马 、 病 毒 等 的 驻 留 而 
产生 的 用 户 登 录 云 计算 应 用 的 密码 遭遇 非法 窃取 ,或 数据 在 通信 传输 过 程 中 被 非法 复制 、 窃 
取 等 。 
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(3) 终端 数据 安全 。 终 端 用 户 的 文件 或 数据 需要 加 密 保 护 以 维护 其 私密 性 和 完整 性 。 
代理 加 密 技术 也 许可 以 解决 SP 非 授 权 滥 用 的 问题 ,但 需 解 决 可 用 性 问题 。 无 论 将 加 密 点 设 在 
何 处 ,都 要 考虑 如 何 防止 加 密 密 钥 和 用 户 数据 的 泄露 以 及 数据 安全 共享 或 方便 检索 等 问题 。 

(4) 终端 运行 环境 安全 。 终 端 运 行 环境 是 指 用 户 终端 提供 云 计算 客户 端 程序 运行 所 必 
需 的 终端 硬件 及 软件 环境 ,这 是 与 传统 终端 一 样 面临 的 互联 网 接 入 风险 。 

(5) 终端 安全 管理 等 。 


5. 安全 管理 需求 


云 计算 环境 下 用 户 的 应 用 系统 和 数据 迁移 到 了 云 服务 提供 商 的 平台 之 上 ,提供 商 需 要 
承担 很 大 部 分 的 安全 管理 责任 ,无 论 对 IaaS、PaaS 或 SaaS 服务 模式 。 云 计算 环境 的 复杂 
性 、 海 量 数据 和 高 度 虚 拟 化 动态 性 使 得 云 计算 安全 管理 更 为 复杂 , 带 来 了 新 的 安全 管理 挑 
战 ,如 下 所 述 : 

(1) 系统 安全 管理 。 系 统 安全 管理 要 做 到 : 可 用 性 管理 ; 漏洞 .补丁 及 配置 (VPC) 管 
理 ; 高 效 的 入 侵 检 测 和 事件 响应 ; 人 员 安 全 管理 。 

(2) 安全 审计 。 除 了 传统 审计 之 外 , 云 计算 服务 提供 商 还 面临 新 的 安全 审计 挑战 ,审计 
的 难度 在 于 需要 为 大 量 不 同 的 多 租户 用 户 提供 审计 管理 ,以 及 在 云 计算 大 数据 量 、 模 糊 边 
界 \ 复 用 资源 环境 下 的 取证 。 

(3) 安全 运 维 。 云 计算 的 安全 运 维 管理 比 传统 的 信息 系统 所 面临 的 运 维 管理 更 具 难 度 
和 挑战 性 。 云 计算 的 安全 运 维 管理 需要 从 对 云 平台 的 基础 设施 、 应 用 和 业务 的 监控 以 及 对 
计算 机 和 网 络 资源 的 入 侵 检测 ,时 间 响 应 和 灾 备 入 手 ,提供 完善 的 健康 监测 和 监控 ,提供 有 
效 的 事件 处 理 及 应 急 响 应 机 制 , 有 针对 性 地 提供 在 云 化 环境 下 的 安全 运 维 。 


6. 法 规 和 监管 需求 


云 计算 作为 一 种 新 的 IT 运行 模式 ,监管 法律, 法 规 的 建设 比较 滞后 。 从 健康 发 展 要 
求 来 看 ,法 律 法 规 体系 建设 与 技术 体系 和 管理 体系 同等 重要 。 

(1) 法 规 需求 。 目 前 ,中 国 针对 云 计算 安全 法 律 制 度 不 健全 ,保密 规范 欠缺 ,是 一 个 急 
需 解 决 的 问题 。 法 规 需求 来 源 于 合 规 性 管理 要 求 , 意 味 着 对 所 有 规划 、 操 作 、 特 权 策 略 和 标 
准 的 合 规 性 监控 以 及 追踪 。 主 要 有 责任 法 规 ( 安 全 责任 的 鉴定 和 取证 )、 个 人 数据 保护 法 (个 
人 隐私 法 ) ,信息 安全 法 (信息 安全 管理 办 法 ). 电 子 签名 法 及 电子 合同 法 、 取 证 法 规 . 地 域 法 
规 (资源 跨 地 域 存储 的 监管 .隐私 保护 ), 以 及 知识 产权 保护 法 。 

(2) 安全 监管 需求 。 安 全 监管 需求 有 以 下 方面 : 安全 监管 , 云 计算 平台 网 络 流量 监控 、 
攻击 识别 和 响应 ; 内 容 监 管 ,对 云 计算 环境 下 流通 内 容 进 行 监管 ,防止 非法 信息 的 传播 ; 运 
行 监管 ; 云 安全 系统 测评 标准 ; 法 规 遵守 监管 。 


10.5.5 云 计算 安全 体系 架构 
1. 云 安全 模型 


李 玮 在 (电信 工程 技术 与 标准 化 )(2012 年 4 期 ) 中 发 表 文章 “ 云 计算 安全 问题 研究 与 探 
讨 ”" 介 绍 了 几 种 云 计算 安全 模型 
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(1) CSA 模型 。 美国 国家 标准 与 技术 研究 所 给 出 的 3 种 服务 模型 已 经 被 广泛 接受 并 成 
为 业内 的 事实 规范 。 这 3 种 服务 模式 包括 基础 设施 即 服务 IaaS 模式 、 平 台 即 服务 PaaS 模 
式 和 软件 即 服务 SaaS 模式 。 例 如 亚马逊 公司 提供 的 以 亚马逊 网 络 服务 (AWS) 为 框架 的 服 
务 器 、 存 储 、 带 宽 、 数 据 库 , 以 及 信息 接口 的 资源 服务 模式 就 是 比较 典型 的 IaaS 模式 ; 而 微 
软 公司 的 Azure 服务 平台 提供 一 系列 可 供 开 发 的 操作 系统 ,也 看 作 是 一 种 PaaS 服务 模式 。 

根据 其 所 属 层次 的 不 同 , 针 对 上 述 3 类 服务 模式 ,CSA 提出 了 基于 基本 云 服务 的 层次 
性 及 其 依赖 关系 的 安全 参考 模型 ,如 图 10-8 所 示 。 


云 服务 模型 安全 控制 模型 
Saas c 人 人 应 用 )~{SDLC、 扫描 、 事 务 安全 、WAF 
-~、 、! 呈 >( 信息 ”)m(DLP、CMF、DAM、 加密 ) 
PaaS 


1 (GRC VIMA、VAINVM、 初 W 本 千 谷 控 ) 
一 >》(《 网 络 ”)=( 防 火 墙 IDS、IPS、DPI、 抗 DDos ] 
一 -> (可 信 计 算 )=( 硬件 及 软件 可 信 根 及 API 
c 一 >》 (计算 机 /存储 )=( 防火墙 、 主机 IDS、IPS、 加 密 、 伪装 ] 
物理 设备 安全 、 闭 路 电视 、 警 卫 
图 10-8 CSA 云 计算 安全 模型 


(2) 企业 界 模型 。 在 国内 ,一 些 大 型 的 IT 设备 制造 企业 也 不 约 而 同 推出 云 计算 整体 解 
决 方案 以 及 相关 云 计 算 安 全 服务 模型 。 与 CSA 模型 不 同 的 是 ,这些 云 计算 安全 模型 更 加 偏 
重 于 具体 的 产品 解决 方案 ,而 没有 上 升 到 理论 层面 。 虽然 在 具体 工程 中 已 经 有 实践 应 用 ,但 
是 基本 上 还 是 采用 传统 网 络 安全 技术 作为 主要 的 防御 力量 ,在 针对 云 计算 应 用 的 响应 速度 、 
系统 规模 等 方面 的 安全 要 求 依旧 没有 本 质 上 的 突破 。 图 10-9 描述 了 一 个 简约 的 ,面向 工程 
的 云 计算 安全 模型 。 


云 计算 用 户 端 
/ 。” 接 入 网 络 安全 。“\ 
“eHPPTS 传 输 安全 
云 计 算 中 心 2 
一 人 et 
数据 安全 桌面 应 用 安全 安全 管控 
Se \ 终端 安全 管理 】 | 
和 从 。 记 可 化 防 病毒 _/ pn 
。 剩 余数 据 删 除 。 | 人 基础 设施 桌面 组 件 安全 。TC 绑 定 虚 
到 所 加 安全 | 一 拟 机 
。 虚 密 | | 云 管理 安全 
佛像 快照 加 窗 | | 有 加 有 | 一 一 ~ 2 全 向 
“镜像 快照 完 。DB 加 固 虚拟 化 安全 _ 。 安 全 事件 监 
整 性 保护 。 安 全 补丁 | [虚拟 机 隔离 控 
。 主 机 完整 | | 。MAC/IP 地 址 欺骗 
性 保护 。Hypervisor 加 固 
\ 。 涯 油管 理 /。 虚 所 防火墙 /虚拟 IPS _/ 
物理 安全 |]、 J 


10-9 国内 IT 企业 云 计算 安 全 模型 
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(3) 其 他 模型 。 我 国 的 一 些 科研 机 构 也 发 布 了 相关 的 云 计算 的 安全 模型 。 在 中 科 院 软 
件 提出 的 模型 中 ,整个 云 计算 安全 技术 模型 分 为 3 个 部 分 : 云 计算 用 户 端 安全 对 象 \ 云 计算 
安全 服务 体系 和 云 安全 标准 体系 。 另 外 ,还 有 Jericho Forum 提出 的 安全 协同 模型 。 它 从 
数据 的 物理 位 置 . 云 计算 技术 和 服务 的 所 有 关系 状态 .应 用 资源 和 服务 时 的 边界 状态 ` 云 服 
务 的 运行 和 管理 者 4 个 影响 安全 协同 的 维度 上 分 为 16 种 可 能 的 云 计算 形态 。 


2. 云 安全 体系 架构 设想 


结合 云 计 算 技 术 及 服务 特点 ,在 明确 安全 防护 需求 的 基础 上 ,综合 采用 多 种 安全 技术 手 
段 ,从 物理 安全 、 网 络 安 全 、 系 统 安全 、 应 用 安全 、 虚 拟 化 安全 ,数据 安 全 、 管 理 安全 多 个 层面 
构建 层次 化 的 纵深 安全 防御 体系 ,保障 云 计算 应 用 安全 。 薄 明 霞 等 研究 了 云 计算 安全 体系 
架构 (2011) ,下 面 是 其 主要 思想 : 

(1) 物理 安全 。 物 理 安全 是 整个 云 计算 系统 安全 的 前 提 , 主 要 包括 物理 设备 的 安全 、 网 
络 环境 的 安全 等 ,以 保护 云 计算 系统 免 受 各 种 自然 及 人 为 的 破坏 。 

(2) 网 络 安全 。 网 络 层 安全 主要 指 网 络 架 构 、 网 络 设备 ,安全 设备 方面 的 安全 性 ,主要 
体现 网 络 拓扑 安全 ,安全 域 的 划分 及 边界 防护 、 网 络 资源 的 访问 控制 .远程 接 入 的 安全 、 路 由 
系统 的 安全 .人 侵 检测 的 手段 .网 络 设施 防 病毒 等 方面 ,采取 的 主要 安全 措施 和 技术 包括 划 
分 安全 域 .实施 安全 边界 防护 .部署 防火 墙 \.IPS/IDS、 部 署 Dos、DDoS 攻击 防御 系统 、 网 络 
安全 审计 系统 、 防 病毒 网 关 、 强 身份 认证 等 。 

(3) 系统 安全 。 系 统 安 全 主要 指 云 计算 系统 中 的 主机 服务 器 \ 维 护 终端 在 内 的 所 有 计 
算 机 设备 在 操作 系统 和 数据 库 的 层面 安全 性 。 操 作 系 统 的 安全 问题 主要 体现 在 操作 系统 本 
身 的 缺陷 带 来 的 不 安全 因素 ,如 访问 控制 ,身份 认证 、 系 统 漏洞 .操作 系统 的 安全 配置 问题 、 
病毒 对 操作 系统 的 威胁 等 方面 ,数据 库 的 安全 性 主要 体现 在 安全 补丁 、 账 户口 令 、 角 色 权 限 、 
日 志和 审计 参数 设置 等 方面 。 

(4) 应 用 安全 。 应 用 安全 主要 指 运 行 在 云 计算 主机 系统 上 各 种 不 同 功 能 的 应 用 系统 的 
安全 性 。 由 于 云 计 算是 一 种 全 新 的 Web 服务 模式 ,推动 了 Internet 的 Web 化 趋势 ,应 用 安 
全 主要 体现 在 Web 安全 上 。Web 安全 包括 两 个 方面 : 一 是 Web 应 用 本 身 的 安全 ; 二 是 内 
容 安全 。 

(5) 管理 安全 。 针 对 云 计 算 系 统 特点 ,重点 应 加 强 用 户 管理 .访问 认证 、 安 全 审计 等 方 
面 的 管理 ; 建立 安全 审计 系统 ,进行 统一 、 完 整 的 审计 分 析 , 通 过 对 操作 、 维 护 等 各 类 日 志 的 
安全 审计 ,提高 对 违规 溯源 的 事后 审查 能 力 。 男 外 ,也 要 加 强 对 云 计 算 安全 事件 管理 ,完善 
云 计 算 平台 的 容 灾 备 份 机 制 , 建 立 完善 的 应 急 响 应 机 制 ,提高 对 异常 情况 和 突 发 事件 的 应 急 
响应 能 力 ,保障 云 业务 在 发 生 安全 事件 时 ,可 以 快速 恢复 业务 ,保障 云 计算 系统 的 业务 连 
续 性 。 

(6) 虚拟 化 安全 。 可 采用 虚拟 机 的 安全 隔离 及 访问 控制 .虚拟 交换 机 、 虚 拟 防 火 墙 、 虚 
拟 镜像 文件 的 加 密 存 储 、 存 储 空间 的 负载 均衡 .元 余 保护 、 虚 拟 机 的 备份 恢复 等 来 保障 云 计 
算 服 务 的 高 可 用 性 。 

(7) 数据 安全 。 数 据 的 保密 性 ,完整 性 、 可 用 性 、 真 实 性 、 授 权 、 认 证 和 不 可 抵赖 性 都 是 
云 环境 下 的 重点 关注 问题 。 
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10.5.6 云 计算 安全 标准 


云 计算 安全 标准 是 度量 去 用 户 安全 目标 与 云 服务 商 安全 服务 能 力 的 尺度 。 有 研究 机 构 
认为 ,安全 和 标准 双翼 对 于 云 的 起 飞 至 关 重 要 。 没 有 标准 , 云 计算 产业 的 发 展 就 难以 得 到 规 
范 健康 的 发 展 ,难以 形成 规模 化 和 产业 化 集群 发 展 。 目 前 ,各 国政 府 、 标 准 组 织 等 正在 积极 
着 手 标准 研究 、 制 定 工 作 , 但 云 计算 安全 研究 尚 处 于 起 步 阶 段 ,业界 尚未 形成 相关 标准 。 国 
际 上 研究 云 计算 标准 的 组 织 有 很 多 ,文中 主要 关注 安全 领域 ,就 国内 外 主要 云 计算 安全 相关 
的 标准 组 织 进行 梳理 ,并 就 相关 研究 概况 进行 简单 介绍 。 颜 斌 在 (信息 安全 与 通信 保密 》 
(2012 年 11 期 ) 中 对 云 计 算 安 全 相关 标准 现状 进行 了 归纳 : 


1. ISO/IECJTC1/SC27 


ISO/IECJTC1/SC27 是 国际 标准 化 组 织 (ISO) 和 国际 电工 委员 会 (IEC) 的 信息 技术 联 
合 技术 委员 会 (JTC1) 下 专门 从 事 信息 安全 标准 化 的 分 技术 委员 会 (SC27) ,是 信息 安全 领域 
中 最 具 代 表 性 的 国际 标准 化 组 织 。SC27 下 设 5 个 工作 组 ,工作 范围 广泛 地 涵盖 了 信息 安全 
管理 和 技术 领域 ,包括 信息 安全 管理 体系 、 密 码 学 与 安全 机 制 、 安 全 评价 准则 ,安全 控制 与 服 
务 .身份 管理 与 隐私 保护 技术 。SC27 于 2010 年 10 月 启动 了 研究 项 目 ( 云 计算 安全 和 隐 
私 ), 由 WG1/WG4/WG5 联合 开展 。 目 前 ,SC27 已 基本 确定 了 云 计算 安全 和 隐私 的 概念 体 
系 架构 ,明确 了 SC27 关于 云 计算 安全 和 隐私 标准 研制 的 3 个 领域 。 


2. 国际 电信 联盟 远程 通信 标准 化 组 织 ITU-T 


ITU-T(ITU-T for ITU Telecommunication Standardization Sector, 国 际 电信 联盟 远程 
通信 标准 化 组 织 ) 是 国际 电信 联盟 管理 下 的 专门 制定 远程 通信 相关 国际 标准 的 组 织 。 该 机 
构 创 建 于 1993 年 ,前 身 是 国际 电报 电话 咨询 委员 会 (CCITT) ,总 部 设 在 瑞士 日 内 瓦 。 

ITU-T 于 2010 年 6 月 成 立 了 云 计算 焦点 组 FG Cloud, 致 力 于 从 电信 和 角度 为 云 计算 
提供 支持 ,焦点 组 运行 时 间 截 止 到 2011 年 12 月 ,后 续 云 工作 已 经 分 散 到 别 的 研究 组 
(SG)。 云 计算 焦点 组 发 布 了 包含 ( 云 安全 》 和 (《 云 计算 标准 制定 组 织 综述 ) 在 内 的 7 份 技 
术 报 告 。 


3. 云 安全 联盟 CSA 


云 安 全 联盟 (Cloud Security Alliance,CSA) 是 在 2009 年 的 RSA 大 会 上 宣布 成 立 的 一 
个 非 盈利 性 组 织 ,致力 于 在 云 计 算 环境 下 提供 最 佳 的 安全 方案 。CSA 已 发 布 了 一 系列 研究 
报告 ,对 业界 有 着 积极 的 影响 。 这 些 报告 从 技术 .操作 和 数据 等 多 方面 强调 了 云 计 算 安 全 的 
重要 性 、 保 证 安全 性 应 当 考虑 的 问题 以 及 相应 的 解决 方案 ,对 形成 云 计算 安全 行业 规范 具有 
重要 影响 。 其 中 ,《 云 计算 关键 领域 安全 指南 ) 是 一 份 重要 的 参考 文献 ,2011 年 11 月 发 布 了 
指南 第 三 版 ,从 架构 ,治理 和 实施 3 个 部 分 、14 个 关键 域 对 云 安全 进行 了 深入 阐述 。 另 外 ， 
开展 的 云 安全 威胁 \ 云 安全 控制 和 矩阵、 云 安全 度量 等 研究 项 目 在 业界 得 到 积极 的 参与 和 
支持 。 
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4. 美国 国家 标准 与 技术 研究 院 


美国 国家 标准 与 技术 研究 院 (NIST) 直 属 美国 商务 部 ,提供 标准 、 标 准 参考 数据 及 有 关 
服务 ,前 身 为 国家 标准 局 。2009 年 9 月 ,奥巴马 政府 宣布 实施 联邦 云 计 算计 划 。 为 了 落实 
和 配合 该 计划 ,NIST 牵头 制定 云 计算 标准 和 指南 。 迄 今 为 止 ,NIST 成 立 了 5 个 云 计算 工 
作 组 ,出 版 了 多 份 研究 成 果 , 由 其 提出 的 云 计算 定义 、3 种 服务 模式 、4 种 部 署 模型 5 大 基础 
特征 被 认为 是 描述 云 计算 的 基础 性 参照 。 


5. 欧洲 信息 安全 局 


2004 年 3 月 ,为 提高 欧 共 体 范围 内 网 络 与 信息 安全 的 级 别 , 提 高 欧 共 体 、 成 员 国 以 及 业 
界 团体 对 于 网 络 与 信息 安全 问题 的 防范 、 处 理 和 响应 能 力 ,培养 网 络 与 信息 安全 文化 ,欧盟 
成 立 了 “欧洲 信息 安全 局 (ENISA)”。 

2009 年 ,欧盟 网 络 与 信息 安全 局 就 启动 了 相关 研究 工作 ,先后 发 布 了 《 云 计算 : 优势 、 
风险 及 信息 安全 建议 ?和 《 云 计 算 信息 安全 保障 框架 》。2011 年 ,又 发 布 了 《政府 云 的 安全 和 
弹性 } 报 告 ,为 政府 机 构 提 供 了 决策 指南 。2012 年 4 月, 发布 了 《 云 计 算 合 同安 全 服务 水 平 
监测 指南 》, 提 供 了 一 套 持续 监测 云 计算 服务 提供 商 服务 级 别 协议 运行 情况 的 操作 体系 ,以 
达到 实时 核查 用 户 数据 安全 性 的 目的 。 


6. OASIS 


OASISCOrganization for the Advancement of Structured Information Standards, 结 构 
化 信息 标准 促进 组 织 ) 于 2010 年 5 月 19 日 成 立 了 云 中 身份 技术 委员 会 (Identity in the 
Cloud Technical Committee,ID Cloud) , 旨 在 解决 云 计 算 中 的 身份 管理 带 来 的 严重 安全 挑 
战 。ID Cloud 负责 在 云 计算 环境 中 进行 身份 部 署 、 配 置 和 管理 ,制定 开放 标准 大 纲 ,并 致力 
于 与 云 安 全 联盟 和 ITU 等 相关 标准 组 织 在 云 安 全 和 身份 管理 领域 开展 合作 。 


7. 分 布 式 管理 任务 组 


分 布 式 管理 任务 组 (Distributed Management Task Force, DMTF) 的 主要 工作 是 研究 
促进 企业 内 私有 云 和 其 他 私有 云 .公共 云 和 混合 云 的 操作 方法 ,通过 开放 云 资源 管理 标准 ， 
提高 平台 间 的 互 操作 性 。2010 年 7 月 ,该 组 织 下 的 云 计算 工作 组 CMWG 起 草 了 开放 云 标 
准 钥 化 器 (OCSD) ,开发 云 资源 管理 协议 、 封 包 格式 和 安全 管理 协议 ,发 布 了 云 互 操作 性 和 管 
理 云 架 构 的 白皮书 。 


8. 全 国信 息 安全 标准 化 技术 委员 会 


国内 有 多 个 机 构 从 事 云 计算 标准 研究 制定 ,其 中 专注 云 计算 安全 相关 标准 的 管理 单位 
是 全 国信 息 安 全 标准 化 技术 委员 会 (TC260) 。 信 安 标 委 专注 于 云 计 算 安 全 标准 体系 建立 及 
相关 标准 的 研究 和 制定 ,信安 标 委 成 立 了 多 个 云 计 算 安 全 标准 研究 课题 ,承担 并 组 织 协调 政 
府 机 构 、 科 研 院 校 , 企 业 等 开展 云 计算 安全 标准 化 研究 工作 。 


1. 名 词 解释 

(1) 蠕 虫 ; (2) 数 据 加 密 ; (3) 数 据 传输 安全 。 

2. 填空 题 

(1) 所 谓 应 用 层 威 胁 ,主要 包括 的 形式 有 

(2) 一 个 典型 的 Web 应 用 通常 是 标准 的 模型 ， 是 第 一 层 ; 
属于 中 间 层 ; 。 是 第 三 层 。 

(3) 中 间 件 是 基于 分 布 式 处 理 的 软件 ,最 突出 的 特点 是 其 网 络 通信 功能 ,主要 类 型 包括 


(4) 信息 安全 基本 特点 包括 和 
(5) 常用 和 流行 的 数据 安全 防护 技术 有 
(6) 数据 库 系统 的 安全 特性 主要 是 针对 数据 而 言 的 ， 包括 | 
等 几 个 方面 。 
(7) 去 计算 可 以 认为 包括 ， 和 几 个 层次 的 
服务 。 

(8) 应 用 软件 服务 安全 需求 包括 和 
3. 选择 题 
(1) Web 入 侵 造成 的 危害 很 大 ,主要 包括 ( 六 

A. 网 站 瘫痪 B. 算 改 网 页 C. 挂 木马 D. 算 改 数据 
(2) RFID 中 间 件 的 特点 有 ( 

A. 容易 读 写 B. 独立 于 架构 

C. 具有 数据 流 设计 与 管理 的 能 力 ” D. 物理 安全 性 高 
(3) 以 下 ( ) 是 RFID 中 间 件 的 发 展 阶段 。 


A. 应 用 程序 中 间 件 发 展 阶段 B. 架构 中 间 件 发 展 阶段 

C. 结构 化 中 间 件 发 展 阶段 D. 解决 方案 中 间 件 发 展 阶段 
(4) 根据 中 间 件 作用 的 不 同 , 中 间 件 可 以 分 为 ( )。 

A. 目标 中 间 件 B. 数据 访问 中 间 件 

C. 远程 过 程 调用 中 间 件 D. 历史 中 间 件 
(5) 数据 库 受到 的 威胁 大 致 有 ( js 

A. 内 部 人 员 错 误 B. 社交 工程 

C. 内 部 人 员 攻 击 D. 错误 配置 


E. 未 打 补 丁 的 漏洞 
(6) 虚拟 环境 的 安全 风险 有 ( js 

A. 黑客 攻击 B. 虚拟 机 重组 ”C. 虚拟 机 跳跃 ”D. 补丁 安全 风险 
(7) 一 般 来 说 ,保护 云 中 数据 安全 ,需要 ( ) 技 术 。 

A. 增强 加 密 技术 B. 密 钥 管 理 

C. 数据 隔离 D. 数据 安全 
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(8) 与 传统 安全 相 比 , 云 计算 安全 具有 的 新 特征 是 ( ys 
A. 传统 的 安全 边界 消失 B. 海量 数据 的 存储 和 处 理 
C. 静态 性 D. 第 三 方 监管 和 审计 
4. 简 答题 
(1) 许多 特殊 技术 允许 攻击 者 危害 远程 系统 安全 ,请 简单 介绍 几 个 类 别 。 
(2) 对 Web 应 用 的 整体 安全 工作 应 该 采取 哪些 具体 措施 ? 
(3) 请 比较 传统 安全 和 云 计算 安全 。 


本 章 是 物 联网 安全 技术 应 用 案例 介绍 。 要 求 了 解 物 联网 安全 技术 应 用 的 具体 思想 。 


(11.1 物 联网 系统 安全 设计 
》—》 


这 部 分 将 介绍 物 联网 面向 主题 的 安全 应 用 和 物 联网 公共 安全 云 计算 平台 系统 。 


11.1.1 物 联网 面向 主题 的 安全 模型 及 应 用 


于 卑 在 硕士 论文 (2010) 中 就 “面向 主题 的 物 联网 安全 模型 进行 了 设计 和 应 用 实践 。 下 
面 是 其 主要 思想 的 介绍 。 面 向 主题 的 物 联网 安全 模型 设计 过 程 分 为 4 个 步 又。 第 一 步 对 物 
联网 进行 主题 划分 ,第 二 步 分 析 主 题 的 技术 支持 ,第 三 步 是 物 联 网 主题 的 安全 属性 需求 分 


析 ,第 四 步 是 主题 设计 和 实现 。 
1. 面向 主题 的 安全 流程 


首先 是 划分 主题 ,接着 是 主题 自身 的 安全 属性 要 求 , 由 此 确定 安全 威胁 ,设计 适合 主题 


的 安全 防御 技术 和 措施 。 其 流程 如 图 11-1 所 示 。 
2. 实际 应 用 


1) 系统 化 安全 需求 

任何 单一 的 安全 策略 都 难以 满足 手机 安全 
的 需求 ,必须 用 系统 化 的 方式 设计 手机 的 安全 
防御 模型 。 在 物 联 网 中 ,手机 集成 了 全 球 定位 、 
智能 系统 和 RFID 等 技术 ,因此 手机 的 安全 需 
要 感知 层 、 网 络 层 和 传输 层 的 协同 防御 。 

2) 跨 层 协作 的 手机 防火 墙 

由 于 手机 资源 匮乏 ,互联 网 中 防火 墙 不 适 
合 移植 于 手机 中 。 结 合 手机 的 安全 属性 要 求 以 
及 系统 化 的 设计 思想 ,在 此 设计 了 跨 层 协作 的 
手机 防火 墙 ,使 之 成 为 手机 安全 的 一 个 重要 的 
保障 措施 。 


面向 主题 
1 1 1 1 
主题 1 上 | 主题 2 呈 主题 8 "| 
i 
安全 属性 
1 1 1 1 
完整 性 | | 机 密 性 | | 可 用 性 其 他 


1 
安全 威胁 
i 


全 措施 


1 
主题 安全 


11-1 面向 主题 的 安全 流程 
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(1) 总 体 描 述 。 手 机 防火 墙 主要 由 5 部 分 组 成 : 感知 层 包 过 滤 防 火 墙 、 网 络 层 包 过 滤 防 
火 墙 应 用 层 代理 防火 墙 .智能 检测 协调 模块 和 外 部 服务 端 。 

(2) 关键 过 程 。 在 手机 防火 墙 设计 中 ,让 可 疑 数据 包 尽 可 能 地 在 底层 被 检测 阻截 ,这 样 
可 以 有 效 地 节省 手机 的 有 限 资 源 。 针 对 在 高 层 发 现 的 非法 数据 ,通过 更 新 底层 防火 墙 的 规 
则 集 方式 ,使 得 在 底层 阻截 高 层 检测 到 的 非法 数据 。 

3) 动态 循环 防御 

面向 主题 的 物 联网 安全 模型 中 ,系统 化 动态 化 是 主要 的 主题 安全 设计 的 方向 。 在 手机 
的 安全 防御 中 将 PDRR 模型 加 入 到 手机 的 防御 系统 中 ,设计 如 图 11-2 所 示 。 


一 一 | ”漏洞 扫描 
完善 安全 机 制 < 一 

[一 ~ ”访问 控制 

修补 漏洞 
防火 墙 

备份 恢复 
数据 加 密 
村 神经 网 络 
取证 异常 检测 
| 概论 统计 
追踪 和 定位 异常 检测 
威胁 隔离 误 用 检测 
- | _| 基于 模型 
安全 对 策 | 入 侵 检测 


图 11-2 动态 防御 图 


11.1.2 物 联 网 公共 安全 云 计算 平台 系统 


学 者 白 蛟 、 全 春来 和 郭 镇 在 (计算 机 工程 与 设计 (2011-11)》 发 布 文章 ,介绍 了 其 研究 成 
果 物 联网 的 公共 安全 云 计算 平台 ,下 面 是 其 主要 的 介绍 。 


1. 物 联网 公共 安全 平台 架构 


这 里 把 物 联网 公共 安全 平台 设计 为 5 个 层次 ,分 别 为 感知 层 、 网 络 层 支撑 层 、 服 务 层 和 
应 用 层 , 如 图 11-3 所 示 。 


2. 云 计算 数据 支撑 平台 体系 架构 


物 联网 支撑 平台 是 各 类 前 端 感知 信息 通过 传输 网 络 汇聚 的 平台 ,该 平台 实时 处 理 前 端 
感知 设施 传人 的 视频 信息 、 数 据 信息 ,以 及 由 应 用 服务 平台 下 达 的 对 感知 设施 的 控制 指令 ， 
主要 实现 信息 接 人 、 标 准 化 处 理 、 信 息 共 享 、 信 息 存储 及 基础 管理 5 大 功能 。 方 案 如 图 11-4 
所 示 ,主要 分 为 两 个 子 系统 : 应 用 服务 分 系统 和 存储 分 系统 。 
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用 户 
动 国 图 
态 能 泛 
网 预 调 
国 区 度 
基于 公共 安全 业务 的 各 种 管控 及 监视 软件 
基于 SOA 架 构 
视频 服务 | | 报警 服务 | 【警力 测算 服务 | | 定位 服务 “| 三 仿真 服务 | | 短信 服务 
和 下 从 信忠 | | 老 如 网 。 | | 报表 服务 | | 综合 态势 服务 | | 目标 监测 服务 | | 代 过 控制 
仿真 引擎 推理 引 党 
数据 库 算法 库 模型 库 知识 库 
物 联网 应 用 支撑 平台 
支 
是 | 2 | 数据 接 入 ss | 国人 医 sx 人 | | 二 | 到 
- 算 | | 和 
数据 转发 与 存储 
数据 的 规格 化 处 理 和 过 小 
网 络 数据 交换 平台 
到 | 公安 专 网 | 基线 放 | 移动 网 || 有 寺 政 务 | | 到 绕 物 联 | | 互联 网 || 。 卫 星 
各 分 局 相 各 派出 所 交通 单位 消防 部 站 其 他 相关 业务 
关 数 据 相关 数据 相关 数据 相关 数据 单位 数据 
传 感 网 络 组 网 和 协同 信息 处 理 
感 低速 和 中 高 速 短 i 传感器 的 
得 | | 条 自 组 织 组 网 信息 协同 处 理 i 
RFID a 传感器 | | 摄像 头等 多 媒体 设备 || GPs 全 球 定位 | 其 他 感知 设备 
前 端 重点 感知 领域 


注 这 部 


济 详 避 烛 证 下 当 漠 们 多 


图 11-3 物 联网 公共 安全 平台 架构 
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云 计算 支撑 平台 


f 二 


应 用 服务 分 系统 存储 分 系统 
TT 1 
辜 | [路 
负 | “| 遍 光 | “| 盘 | | 盘 
载 有 | | 网 | | 纤 | | 麻 | | 了 
均 | | 受 | | 络 | | 网 | | 列 | 到 
衡 | | 铝 | | 单 | | 络 主 | | 从 
单 单 元 单 柜 想 
元 元 元 单 单 
IE ZE 


图 11-4 云 计算 系统 平台 


该 平台 为 云 计算 综合 应 用 平台 的 基础 模板 ,可 以 在 此 基础 上 对 平台 进行 变动 ,以 满足 不 
同 用 户 对 该 平台 的 特殊 要 求 。 其 逻辑 架构 如 图 11-5 所 示 。 


一 


骨干 网 


k 物 联 业务 网 0 


/ 
人 
了 ! 
1 HM k 
| 是 eng ana， t 光纤 网 络 
1 Destoi Destor ,IDcston 


、 存储 主 柜 (5 台 ) / 


图 11-5 云 计算 系统 逻辑 架构 


(11,2 物 联网 安全 技术 应 用 


这 部 分 将 介绍 5 个 系统 ,包括 物 联 网 机 房 远 程 监控 预警 系统 、 物 联网 机 房 监控 设备 集成 
系统 、 物 联网 门禁 系统 、 物 联网 安防 监控 系统 和 物 联 网 智能 监狱 监控 报警 系统 。 
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11.2.1 物 联网 机 房 远程 监控 预警 系统 


学 者 高 祥 、 许 扬 、 李 渊 国 、 张 永 军 和 刘 建 会 在 (自动 化 技术 与 应 用 (2012-5)) 中 介绍 了 他 
们 设计 的 物 联网 模式 的 机 房 环境 远程 监控 预警 系统 。 下 面 是 其 主要 内 容 介 绍 。 


1. 系统 需求 分 析 


在 无 人 值守 机 房 环境 ,急需 解决 如 下 问题 : 

(1) 温 控 设备 无 法 正常 工作 。 一 般 坐落 在 野外 的 无 人 值守 机 房 内 的 空调 器 均 采 用 农用 
电网 直接 供电 ,在 出 现 供电 异常 后 空调 器 停止 工作 , 当 供电 正常 后 ,也 无 法 自动 启动 ,必须 人 
为 干预 才能 开机 工作 。 这 就 需要 机 房 设置 可 以 自行 启动 空调 器 的 装置 ,最 大 限度 地 延长 空 
调 器 的 工作 时 间 ,提高 温 控 效 果 。 

(2) 环境 异常 情况 无 法 及 时 传递 。 无 人 值守 机 房 基本 没有 环境 报警 系统 ,即使 存在 ,也 
是 单独 工作 的 独立 设备 ,无 法 保障 环境 异常 情况 及 时 有 效 地 传递 ,从 而 会 致使 设备 或 系统 发 
生 问 题 。 因 此 将 机 房 环境 异常 情况 有 效 可 靠 地 传递 也 是 必须 解决 的 问题 。 

(3) 无 集中 有 效 的 监控 预警 系统 。 对 于 机 房 环境 监控 ,目前 还 没有 真正 切实 有 效 的 系 
统 来 保障 机 房 正常 的 工作 环境 。 有 些 机 房 设置 了 机 房 环境 监控 系统 ,但 系统 结构 相对 单一 ， 
数据 传输 完全 依赖 于 现 有 的 高 速 公路 通信 系统 ,如 机 房 设备 出 现 故 障 ,导致 通信 系统 出 现 问 
题 , 则 环境 监控 就 陷入 瘫痪 ,无 法 正常 发 挥 作用 。 

根据 以 上 分 析 , 无 人 值守 机 房 环境 应 重点 考虑 以 下 3 点 : 

(1) 机 房 短暂 停电 又 再 次 恢复 供电 ,机 房 空调 器 需要 及 时 干预 并 使 其 发 挥 作用 。 

(2) 由 于 机 房 示 能 及 时 来 电 或 者 空调 器 本 身 发 生 故 障 时 ,机 房 环境 温度 迅速 升 高 ( 降 
低 ) ,超过 设备 工作 温度 阔 值 时 ,应 能 够 及 时 给 予 相 关 人 员 预 警 或 告知 。 

(3) 建立 独立 有 效 的 监控 预警 系统 ,在 高 速 公路 机 电 系统 出 现 问题 时 ,能 够 保证 有 效 地 
进行 异常 信息 发 送 。 

2. 系统 架构 设计 


1) 物 联网 3 层 结构 

物 联 网 体系 架构 大 致 被 公认 为 有 3 个 层次 ,底层 是 用 来 感知 数据 的 感知 层 , 第 二 层 是 数 
据 传输 的 网 络 层 ,最 上 面 则 是 内 容 应 用 层 。 感 知 层 包括 二 维 码 标签 和 识 读 器 .REFID 标签 和 
读 写 器 .摄像头 .GPS 等 ,主要 作用 是 识别 物体 ,采集 信息 。 网 络 层 包括 通信 与 互联 网 的 融 
合 网 络 、 网 络 管理 中 心 和 信息 处 理 中 心 等 。 网 络 层 将 感知 层 获 取 的 信息 进行 传递 和 处 理 。 
应 用 层 是 物 联 网 与 行业 专业 技术 的 深度 融合 ,与 行业 需求 结合 ,实现 行业 智能 化 。 在 各 层 之 
间 有 交互 ,控制 等 信息 多 种 的 传递 。 

2) 系统 架构 

机 房 环境 远程 监控 预警 系统 结构 主要 包含 3 个 部 分 : 

(1) 感知 层 。 数 据 采集 单元 作为 微 系统 传 感 节 点 ,可 以 对 机 房 温度 信息 、 湿 度 信息 等 进 
行 收集 。 数 据 信 息 的 收集 采取 周期 性 汇报 模式 ,通过 2G 网 络 技术 进行 远程 传输 。 

(2) 网 络 层 。 采 用 通信 运营 商 的 2G 通信 网络 (主要 是 短信 和 方式) 实现 互联 ,进行 数据 传 
输 , 将 来 自 感知 层 的 信息 上 传 。 
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(3) 应 用 层 。 主 要 由 用 户 认 证 系统 、 设 备 管理 系统 和 智能 数据 计算 系统 等 组 成 ,分 别 完 
成 数据 收集 、 传 输 、 报 警 等 功能 ,构建 起 面向 机 房 环境 监测 的 实际 应 用 ,如 机 房 环 境 的 实时 监 
测 、 趋 势 预测 、 预 警 及 应 急 联 动 等 。 

3) 系统 功能 

系统 功能 主要 分 为 三 大 类 : 

(1) 信息 采集 。 本 系统 通过 内 部 数据 采集 单元 采集 并 记录 机 房 环境 的 信息 ,然后 数字 
化 并 通过 2G 网 络 传送 至 集中 管理 平台 系统 。 同 时 , 若 机 房 增加 其 他 检测 传感器 ,如 红外 报 
警 .烟雾 报警 等 ,也 可 以 接 入 本 系统 的 数据 采集 单元 中 ,实现 机 房 全 方位 的 信息 采集 。 

(2) 远程 控制 。 当 发 现 机 房 环境 异常 时 ,可 以 利用 本 系统 控制 相应 的 设备 进行 及 时 处 
置 , 如 温度 变化 , 则 控制 空调 器 或 通风 设施 进行 温度 调整 。 另 外 ,可 以 在 机 房 增加 其 他 控制 
设备 ,如 消防 设施 或 者 监控 设施 .灯光 等 ,都 可 以 利用 本 系统 实现 远程 自动 控制 。 

(3) 集中 监控 预警 。 在 管理 中 心 设置 一 套 集中 监控 预警 管理 平台 ,可 以 实时 收集 各 机 
房 的 状态 信息 ,并 分 析 相 关 信 息 内 容 , 根 据 现场 信息 反映 的 情况 ,采取 相应 的 控制 和 预警 方 
案 , 集 中 统一 管理 各 机 房 的 工作 环境 。 


3. 系统 组 成 


系统 具体 实现 以 及 部 署 如 图 11-6 所 示 , 主 要 包括 采集 单元 ,控制 单元 、 网 络 传输 单元 和 
集中 处 理 单元 等 几 个 部 分 。 


采集 单元 a 
-一 |  … ~ 一- 一 控制 命令 
短信 | 、 | 短信 


: 
接口 接站 


1 
控制 单元 | 、 运营 商 网 络 ! 
El 元 


\ 


| 


/| 集中 处 理 手机 
| 集中 处 理 | 
、、、 网 络 传输 Se 


图 11-6 物 联网 系统 组 成 结构 


11.2.2 物 联 网 机 房 监控 设备 集成 系统 
1. 系统 框架 


为 保证 网 络 设备 的 良好 运行 状态 和 设备 使 用 寿命 与 安全 ,实现 用 户 的 最 大 投资 效益 ,有 
必要 对 网 络 运行 环境 的 电力 供应 、 温 度 、 湿 度 、 漏 水 、 空 气 含 尘 量 等 诸多 环境 变量 , UPS、 空 
调 、 新 风 、 除 尘 、 除 湿 等 诸多 设备 运行 状态 变量 进行 24 小 时 实时 监测 与 智能 化 调节 控制 ,以 
保证 网 络 运行 环境 的 稳定 与 网 络 软 硬 件 资源 .设备 的 安全 以 及 相关 信息 数据 资产 的 安全 。 
北京 融 智 兴 华 科技 有 限 公 司 开发 了 融 智 9600 机 房 监控 设备 , 它 是 一 个 集 动力 环境 视频、 
设备 安防、 消防 综合 监测 .调控 ,监视 软 硬 件 平 台 于 一 体 的 分 布 式 、 智 能 化 网 络 机 房 远程 运 
维 管理 系统 ,如 图 11-7 所 示 。 
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图 11-7 机 房 动 力 环境 监控 示意 图 
2. 系统 功能 


(1) 动力 供电 通 断 监测 。 对 市 电 、UPS 断 电 进行 实时 
况 , 实 时 监控 告警 。 

(2) 温度 ,湿度 监测 。 当 机 房 内 温 湿度 超出 预警 温度 值 或 告警 温度 值 的 持续 时 间 超 出 
设 定 值 , 即 按 用 户 设 定 策略 进行 本 地 报警 和 手机 短信 报警 。 

(3) UPS 联动 监控 配置 。 动 态 图 示 反 映 当前 UPS 于 测 信息 量 的 实时 状态 ,针对 异常 情 
况 及 时 告警 ,同时 记录 告警 信息 。 

(4) 空调 联动 监测 控制 。 包 括 精 密 空调 和 普通 空调 的 联动 控制 。 

(5) 新 风机 联动 监测 。 包 括 智能 新 风机 和 普通 新 风机 的 联动 控制 。 

(6) 发 电机 联动 监测 。 实 时 对 发 电机 输出 的 功率 、 频 率 、 油 压 、 油 位 、 油 温 及 发 动机 的 转 
速 等 进行 监控 。 

(7) 消防 联动 监测 。 当 有 报警 信息 产生 时 ,系统 会 根据 用 户 预 设 策略 进行 告警 。 

(8) 视频 监控 。 对 用 户 机 房 内 现场 的 视频 状况 进行 监控 。 

(9) 门禁 联动 监控 。 实 现 人 员 出 入 的 刷卡 授权 出 入 管理 以 及 对 人 员 出 入 的 详细 记录 ， 
包括 人 员 姓 名 、 身 份 、 进 出 时 间 等 。 

(10) 双 鉴 探测 。 实 时 监控 被 监控 区 域 的 人 员 移 动 状 况 , 并 按 用 户 设 定 的 布防 、 撤 防 时 
段 与 告警 通告 策略 对 相应 状况 进行 告警 、 通 告 或 仅仅 软件 界面 反映 。 

(11) 烟雾 探测 。 当 检测 到 有 烟雾 时 ,进行 本 地 报警 和 手机 短信 报警 ,及 时 通知 相关 人 
员 对 机 房 做 出 相应 处 理 , 保 障 中 心机 房 服务 器 等 设备 的 安全 运转 。 

(12) 漏水 监测 对 机 房 空调 周围 进行 实时 的 水 浸 监 测 , 一 旦 空调 的 加 湿 水 跑 水 、 冰 凝 水 


监控 报警 ,随时 掌握 机 房 的 电力 情 
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跑 水 .管道 水 漏水 等 水 浸 状 况 发 生 , 系 统 可 立即 报警 ,严禁 水 浸 状 况 危 及 机 房 安全 。 

(13) 数字 电力 监测 。 实 时 监测 机 房 内 市 电 输入 的 电压 电流、 频率 和 有 功 功率 等 ,以 数 
据 形 式 反映 当前 市 电 监测 量 的 数据 值 , 实 时 反映 当前 市 电 情况 。 

(14) 回路 监控 。 针 对 机 房 强 电 配 电 柜 配置 回路 监测 模块 ,实现 对 开关 状态 的 监测 。 当 
开关 跳闸 或 断 电 时 ,系统 自动 切换 到 相应 的 运行 画面 ,同时 发 出 报警 信息 。 

(15) 服务 器 基本 运行 参数 状态 监控 。 实 现 对 服务 器 CPU 占用 率 内存 占 用 率 、 硬 盘 剩 
余 空 间 、 网 口 流量 及 带宽 占用 率 .CPU 运行 温度 等 关键 运行 参数 的 实时 监控 。 

(16) 关键 服务 进程 监控 。 探 测 服务 器 服务 响应 的 正常 与 否 及 响应 时 间 ,并 按 用 户 设 定 
策略 对 各 类 服务 响应 失败 .服务 响应 异常 .服务 响应 过 慢 等 事件 按 用 户 设 定 策略 进行 报警 。 

(17) 远程 串口 管理 。 实 现 对 汇聚 设备 间 机 房 部 分 交换 机 的 远程 串口 命令 配置 ,实现 网 
管 人 员 对 各 汇聚 设备 间 的 远程 口 本 地 化 串口 操作 。 

(18) 远程 电源 管理 。 对 设备 间 进 行 远程 电源 管理 ,在 必要 时 可 对 设备 间 设 备 进行 断 通 
电 重 启 。 

(19) 电池 及 电池 组 监控 。 实 时 对 电池 组 内 阻 . 总 电流 及 总 电压 的 状况 进行 监控 ,针对 
单 体 电池 可 实时 对 电池 的 表面 温度 . 单 体 电池 的 电流 ,电压 等 状况 进行 监控 。 

(20) 机 柜 微 环境 监测 。 针 对 重要 机 柜 对 机 柜 的 亚 环境 进行 监控 ,实现 对 重要 设备 的 精 
细 化 动力 、 环 境 保障 监测 。 避 免 大 环境 合格 ,但 亚 环 境 超标 现象 危害 重要 设备 的 安全 。 

(21) 大 屏幕 拼接 显示 。 


11.2.3 物 联网 门禁 系统 


门禁 系统 是 物 联网 安全 管理 的 应 用 系统 , 它 集 计 算 机 自动 识别 技术 和 现代 安全 管理 措 
施 为 一 体 ,涉及 电子 .机械 、 光 学、 计算 机 技术 、 通 信 技 术 和 生物 技术 等 诸多 新 技术 。 它 是 解 
决 重要 部 门 出 入 口 实现 安全 防范 管理 的 有 效 措施 。 适 用 于 各 种 机 要 部 门 ,如 银行 ,宾馆 、 机 
房 、 军 械 库 、 机 要 室 、 办 公 间 智能 化 小 区 和 工厂 等 。 


1. 门禁 系统 的 应 用 要 求 


(1) 可 靠 性 。 门 禁 系 统 以 预防 损失 ,犯罪 为 主要 目的 ,因此 必须 具有 极 高 的 可 靠 性 。 一 
个 门禁 系统 在 其 运行 的 大 多 数 时间 内 可 能 没有 警 情 发 生 , 因 而 不 需要 报警 ,出 现 警 情 需要 报 
警 的 概率 一 般 是 很 小 的 。 但 是 ,如 果 在 这 极 小 的 概率 内 出 现 报警 系 统 失灵 ,常常 意味 着 灾难 
的 降临 。 因 此 ,门禁 安防 系统 在 设计 、 施 工 、 使 用 的 各 个 阶段 必须 实施 可 靠 性 设计 (元 余 设 
计 ) 和 可 靠 性 管理 ,以 保证 产品 和 系统 的 高 可 靠 性 。 

(2) 权威 认证 。 另 外 ,在 系统 的 设计 ,设备 选取 、 调 试 、 安 装 等 环节 上 都 严格 执行 国家 或 
行业 上 有 关 的 标准 ,以 及 公安 部 门 有 关 安 全 技术 防范 的 要 求 ,产品 须 经 过 多 项 权威 认证 , 且 
具有 众多 的 典型 用 户 ,多 年 正常 运行 。 

(3) 安全 性 。 门 禁 及 安防 系统 是 用 来 保护 人 员 和 财产 安全 的 ,因此 系统 自身 必须 安全 。 
这 里 所 说 的 高 安全 性 ,一 方面 是 指 产品 或 系统 的 自然 属性 或 准 自然 属性 ,应 该 保证 设备 、 系 
统 运行 的 安全 和 操作 者 的 安全 ,例如 设备 和 系统 本 身 要 能 防 高 温 、 低 温 、 温 热 ,烟雾 .霉菌 、 丙 
淋 , 并 能 防 辐射 , 防 电磁 干扰 (电磁 兼容 性 ) 、 防 冲击 、 防 碰撞 、 防 跌落 等 。 设 备 和 系统 的 运行 
安全 还 包括 防火 、 防 雷击 、 防 爆 、 防 触电 等 。 另 一 方面 ,门禁 及 安防 系统 还 应 具有 防 人 为 破坏 
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的 功能 ,如 具有 防 破 坏 的 保护 壳 体 ,以 及 具有 防 拆 报警 、 防 短路 和 断 开 等 。 

(4) 功能 性 。 随 着 人 们 对 门禁 系统 各 方面 要 求 的 不 断 提 高 ,门禁 系统 的 应 用 范围 越 来 
越 广泛 。 人 们 对 门禁 系统 的 应 用 已 不 局 限 在 单一 的 出 人 口 控制 ,而 且 还 要 求 它 不 仅 可 应 用 
于 智能 大 厦 或 智能 社区 的 门禁 控制 .考勤 管理 安防 报警 、 停 车 场 控制 .电梯 控制 楼宇 自控 
等 ,还 可 与 其 他 系统 联动 控制 等 多 种 控制 功能 。 

(5) 扩展 性 。 门 禁 系统 应 选择 开放 性 的 硬件 平台 ,具有 多 种 通信 方式 ,为 实现 各 种 设备 
之 间 的 互联 和 整合 英 定 良好 的 基础 。 另 外 ,还 要 求 系统 应 具备 标准 化 和 模块 化 的 部 件 ,有 很 
大 的 灵活 性 和 扩展 性 。 


2. 门禁 系统 的 功能 


(1) 实时 监控 功能 。 系 统管 理 人 员 可 以 通过 计算 机 实时 查看 每 个 门 区 人 员 的 进出 情况 
(同时 有 照片 显示 )、 每 个 门 区 的 状态 (包括 门 的 开关 ,各 种 非 正常 状态 报警 等 ); 也 可 以 在 紧 
急 状 态 打 开 或 关闭 所 有 的 门 区 。 

(2) 出 入 记录 查询 功能 。 系 统 可 储存 所 有 的 进出 记录 ,状态 记录 ,可 按 不 同 的 查询 条 件 
查询 ,配备 相应 考勤 软件 可 实现 考勤 门禁 一 卡通 。 

(3) 异常 报警 功能 。 在 异常 情况 下 可 以 通过 门禁 软件 实现 计算 机 报警 或 外 加 语音 声 光 
报警 ,如 非法 侵入 \ 门 超时 未 关 等 。 

(4) 防 尾随 功能 。 是 指 在 使 用 双向 读 卡 的 情况 下 ,防止 一 卡 多 次 重复 使 用 , 即 一 张 有 效 
卡 刷卡 进门 后 ,该 卡 必 须 在 同一 门 刷卡 出 门 一 次 才 可 以 重新 刷卡 进门 ,否则 将 被 视 为 非法 卡 
拒绝 进门 。 

(5) 双 门 互 锁 。 也 叫 AB 门 , 通 常用 在 银行 金库 , 它 需 要 和 门 磁 配合 使 用 。 当 门 磁 检测 
到 一 扇 门 没有 锁 上 时 , 另 一 扇 门 就 无 法 正常 地 打开 。 只 有 当 一 扇 门 正常 锁 住 时 , 另 一 扇 门 才 
能 正常 打开 ,这 样 就 隔离 出 一 个 安全 的 通道 出 来 ,使 犯罪 分 子 无 法 进入 ,达到 阻碍 延缓 犯罪 
行为 的 目的 。 

(6) 胁迫 码 开 门 。 是 指 当 持 卡 者 被 人 劫持 时 ,为 保证 持 卡 者 的 生命 安全 , 持 卡 者 输入 胁 
迫 码 后 门 能 打开 ,但 同时 向 控制 中 心 报警 ,控制 中 心 接 到 报警 信号 后 就 能 采取 相应 的 应 急 措 
施 。 胁 迫 码 通 常设 为 4 位 数 。 

(7) 消防 报警 监控 联动 功能 。 在 出 现 火警 时 门禁 系统 可 以 自动 打开 所 有 电子 锁 让 里 面 
的 人 随时 逃生 。 与 监控 联动 通常 是 指 监控 系统 自动 将 有 人 刷卡 时 (有 效 / 无 效 ) 的 情况 录 下 ， 
同时 也 将 门禁 系统 出 现 警报 时 的 情况 录 下 来 。 

(8) 网 络 设 置 管理 监控 功能 。 大 多 数 门禁 系统 只 能 用 一 台 计 算 机 管理 ,而 技术 先进 的 
系统 则 可 以 在 网 络 上 任何 一 个 授权 的 位 置 对 整个 系统 进行 设置 监控 查询 管理 ,也 可 以 通过 
Internet 进行 异地 设置 管理 监控 查询 。 

(9) 逻辑 开门 功能 。 简 单 地 说 ,就 是 同一 个 门 需要 几 个 人 同时 刷卡 (或 其 他 方式 ) 才 能 
打开 电 控 门 锁 。 


3. 门禁 系统 分 类 


按 进出 识别 方式 可 分 为 以 下 几 类 : 
(1) 密码 识别 。 通 过 检验 输入 密码 是 否 正 确 来 识别 进出 权限 。 这 类 产品 又 分 为 两 类 : 
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一 类 是 普通 型 ; 另 一 类 是 乱 序 键 盘 型 (键盘 上 的 数字 不 固定 ,不 定期 自动 变化 ) 。 

(2) 卡片 识别 。 通 过 读 卡 或 读 卡 加 密码 方式 来 识别 进出 权限 , 按 卡片 种 类 又 分 为 磁卡 
和 射频 卡 。 

(3) 生物 识别 。 通 过 检验 人 员 生 物 特征 等 方式 来 识别 进出 。 有 指纹 型 、 掌 形 型 .虹膜 
型 .面部 识别 型 ,还 有 手指 静脉 识别 型 等 。 

(4) 二 维 码 识别 。 二 维 码 门禁 系统 结合 二 维 码 的 特点 ,将 给 进入 校园 的 学 生 、 老 师 、 家 
长 ,后勤 工作 人 员 发 送 二 维 码 有 效 凭证 ,这 样 家 长 在 进入 校园 的 时 候 轻 松 地 对 识 读 机 器 扫 一 
下 二 维 码 ,便于 对 进出 人 员 的 管理 。 作 为 校方 ,需要 登记 学 生 家 长 的 手机 号 及 家 人 的 二 代 身 
份 证 号 ,家 长 手机 便 会 收 到 学 校 使 用 二 维 码 校园 门禁 系统 平台 发 送 的 含有 二 维 码 的 短信 。 
同时 将 支持 身份 证 .手机 进行 验证 ,从 而 确保 进出 入 人 员 的 安全 。 


4. 门禁 系统 的 发 展现 状 和 趋势 


传统 的 机 械 门 锁 仅 仅 是 单纯 的 机 械 装 置 , 无 论 结构 设计 多 么 合理 ,材料 多 么 坚固 ,人 们 
总 能 通过 各 种 手段 把 它 打 开 。 在 出 入 人 员 很 多 的 通道 ( 像 办 公 大 楼 、 酒 店 客 房 ) 钥 匙 的 管理 
很 麻烦 ,钥匙 丢失 或 人 员 更 换 都 要 把 锁 和 钥匙 一 起 更 换 。 

为 了 解决 这 些 问题 ,就 出 现 了 电子 磁卡 锁 和 电子 密码 锁 ,这 两 种 锁 的 出 现 从 一 定 程度 上 
提高 了 人 们 对 出 入 口 通道 的 管理 程度 ,使 通道 管理 进入 了 电子 时 代 。 但 随 着 这 两 种 电子 锁 
的 不 断 应 用 ,它们 本 身 的 缺陷 就 逐渐 暴露 ,磁卡 锁 的 问题 是 信息 容易 复制 ,卡片 与 读 卡 机 具 
之 间 磨 损 大 ,故障 率 高 ,安全 系数 低 。 密 码 锁 的 问题 是 密码 容易 泄露 ,又 无 从 查 起 ,安全 系数 
很 低 。 同 时 这 个 时 期 的 产品 由 于 大 多 采用 读 卡 部 分 (密码 输入 ) 与 控制 部 分 合 在 一 起 安装 在 
门 外 , 很 容易 被 人 在 室外 打开 锁 。 这 个 时 期 的 门禁 系统 还 停留 在 早期 不 成 熟 阶段 ,因此 当时 
的 门禁 系统 通常 被 人 称 为 电子 锁 , 应 用 也 不 广泛 。 

随 着 感应 卡 技 术 , 生 物 识别 技术 的 发 展 ,门禁 系统 得 到 了 飞跃 式 的 发 展 ,进入 了 成 熟 期 ， 
出 现 了 感应 卡 式 门禁 系统 ,指纹 门禁 系统 、 虹 膜 门禁 系统 、 面 部 识别 门禁 系统 \ 乱 序 键盘 门禁 
系统 等 各 种 技术 的 系统 ,它们 在 安全 性 ,方便 性 和 易 管 理性 等 方面 都 各 有 特长 ,门禁 系统 的 
应 用 领域 也 越 来 越 广 。 


11.2.4 物 联网 安防 监控 系统 


安防 监控 系统 (Video Surveillance & Control System,VSCS) 是 应 用 光纤 、 同 轴 电 线 或 
微波 在 其 闭合 的 环 路 内 传输 视频 信号 ,并 从 摄像 到 图 像 显 示 和 记录 构成 独立 完整 的 系统 。 
它 能 实时 、 形 象 、 真 实地 反映 被 监控 对 象 , 不 但 极 大 地 延长 了 人 眼 的 观察 距离 ,而 且 扩 大 了 人 
眼 的 机 能 , 它 可 以 在 恶劣 的 环境 下 代替 人 工 进行 长 时 间 监 视 , 让 人 能 够 看 到 被 监视 现场 实际 
发 生 的 一 切 情 况 ,并 通过 录像 机 记录 下 来 。 同 时 报警 系统 设备 对 非法 入 侵 进 行 报警 ,产生 的 
报警 信号 输入 报警 主机 ,报警 主机 触发 监控 系统 录像 并 记录 。 


1. 安防 监控 系统 结构 


视频 安防 监控 系统 指 利用 视频 探测 技术 监视 设防 区 域 并 实时 显示 、 记 录 现 场 图 像 的 电 
子 系统 或 网 络 。 主 要 包含 前 端 部 分 传输 部 分 控制 部 分 、 显 示 部 分 防盗 报 警部 分 和 系统 供 
电 部 分 。 


364 


SA 


物 联 网 安全 教程 


(1) 前 端 部 分 。 前 端 完成 模拟 视频 的 拍摄 ,探测 器 报警 信号 的 产生 , 云 台 、 防 护 罩 的 控 
制 ,报警 输出 等 功能 。 主 要 包括 摄像 头 . 电 动 变焦 镜头 、 室 外 红外 对 射 探测 器 、 双 监 探测 器 、 
温 湿度 传感器 、 云 台 、 防 护 晶 ,解码 器 、 警 灯 和 和 警笛 等 设备 (设备 使 用 情况 根据 用 户 的 实际 需 
求 配置 )。 

(2) 传输 部 分 。 传 输 部 分 主要 由 同 轴 电 缆 组成。 传输 部 分 要 求 在 前 端 摄像 机 摄 录 的 图 
像 进 行 实时 传输 ,同时 要 求 传输 具有 损耗 小 ,可 靠 的 传输 质量 ,图 像 在 录像 控制 中 心 能 够 清 
晰 还 原 显示 。 

(3) 控制 部 分 。 该 部 分 是 安防 监控 系统 的 核心 , 它 完成 模拟 视频 监视 信号 的 数字 采集 、 
MPEG-1 压缩 监控 数据 记录 和 检索 、 硬 盘 录 像 等 功能 。 

(4) 显示 部 分 。 该 部 分 完成 在 系统 显示 器 或 监视 器 屏幕 上 的 实时 监视 信号 显示 和 录像 
内 容 的 回放 及 检索 。 

(5) 防 资 报警 部 分 。 这 部 分 利用 主动 红外 移动 探测 器 将 重要 通道 控制 起 来 ,并 连接 到 
管理 中 心 的 报警 中 心 , 当 在 非 工 作 时 间 内 有 人 员 从 非 正常 人 口 进入 时 ,探测 器 会 立即 将 报警 
信号 发 送 到 管理 中 心 , 同 时 启动 联动 装置 和 设备 ,对 入 侵 者 进行 警告 ,可 以 进行 连续 摄像 及 
录像 。 

(6) 系统 供电 部 分 。 系 统 的 供电 可 以 采用 集中 供电 和 分 散 供电 两 部 分 ,用 户 可 以 根据 
实际 的 需要 进行 选择 。 


2. 物 联网 安防 系统 总 体 设计 


根据 系统 各 部 分 功能 的 不 同 , 将 整个 安防 监控 系统 划分 为 7 层 一 一 表现 层 、 控 制 层 、 处 
理 层 、 传 输 层 、 执 行 层 ` 支 撑 层 和 采集 层 。 

(1) 表现 层 。 监 控 电 视 墙 ,监视 器 \ 高 音 报警 喇叭 、 报 警 自动 驳 接 电话 等 都 属于 这 一 层 。 

(2) 控制 层 。 控 制 层 是 整个 安防 监控 系统 的 核心 。 其 控制 方式 有 两 种 一 一 模拟 控制 和 
数字 控制 。 模 拟 控制 是 早期 的 控制 方式 ,其 控制 台 通 常 由 控制 器 或 者 模拟 控制 矩阵 构成 , 适 
用 于 小 型 局 部 安防 监控 系统 ,这 种 控制 方式 成 本 较 低 ,故障 率 较 小 。 但 对 于 中 大 型 安防 监控 
系统 ,这 种 方式 操作 复杂 。 数 字 控 制 是 将 工控 计算 机 作为 监控 系统 的 控制 核心 , 它 将 复杂 的 
模拟 控制 操作 变 为 简单 的 鼠标 点 击 操作 ,将 巨大 的 模拟 控制 器 堆 释 缩小 为 一 个 工控 计算 机 ， 
将 复杂 而 数量 庞大 的 控制 电缆 变 为 一 根 串 行 电话 线 。 它 将 中 远程 监控 变 为 事实 ,为 
Internet 远程 监控 提供 可 能 。 但 数字 控制 价格 十 分 昂贵 .系统 可 能 出 现 全 线 骨 省 、 控 制 较为 
滞后 等 问题 。 

(3) 处 理 层 。 处 理 层 或 许 该 称 为 音 视频 处 理 层 , 它 将 由 传输 层 送 过 来 的 音 视频 信号 加 
以 分 配 、 放 大 分割 等 处 理 , 有 机 地 将 表现 层 与 控制 层 加 以 连接 。 音 视频 分 配器 、 音 视频 放大 
器 、 视 频 分 割 器 、 音 视频 切换 器 等 设备 都 属于 这 一 层 。 

(4) 传输 层 。 传 输 层 相当 于 安防 监控 系统 的 血脉 。 在 小 型 安防 监控 系统 中 ,最 常见 的 
传输 层 设备 是 视频 线 .音频 线 ; 对 于 中 远程 监控 系统 而 言 , 常 使 用 的 是 射频 线 、 微 波 ; 对 于 
远程 监控 而 言 ,通常 使 用 Internet 这 一 廉价 载体 。 值 得 一 提 的 是 ,新 出 现 的 传输 层 介 质 一 一 
网 线 / 光 纤 。 纯 数字 安防 监控 系统 的 传输 介质 是 网 线 或 光纤 。 信 和 号 从 采集 层 出 来 时 就 已 经 
调制 成 数字 信号 了 ,数字 信号 在 已 趋 成 熟 的 网 络 上 传输 ,理论 上 是 无 衰减 的 ,这 就 保证 远程 
监控 图 像 的 无 损失 显示 ,这 是 模拟 传输 无 法 比拟 的 。 但 纯 数字 安防 监控 系统 价格 较 高 。 
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(5) 执行 层 。 执 行 层 是 控制 指令 的 命令 对 象 , 在 某 些 时 候 , 它 和 后 面 所 说 的 支撑 层 、 采 
集 层 不 能 截然 分 开 , 受 控 对 象 即 为 执行 层 设备 ,如 云 台 、 镜 头 、 解 码 器 和 球 等 。 

(6) 支撑 层 。 用 于 后 端 设 备 的 支撑 ,保护 和 支撑 采集 层 、 执 行 层 设备 。 包 括 支 架 、 防 护 
罩 等 辅助 设备 。 

(7) 采集 层 。 整 个 安防 监控 系统 品质 好 坏 的 关键 因素 ,也 是 系统 成 本 开销 最 大 的 地 方 。 
包括 镜头 、 摄 像 机 和 报警 传感器 等 。 


3. 系统 硬件 设计 


(1) 终端 节点 硬件 设计 。 终 端 节点 主要 包含 传感器 节点 和 控制 节点 ,感知 节点 采集 数 
据 并 将 数据 发 送 给 协调 器 ,控制 节点 接受 中 心 协调 器 的 控制 指令 ,实现 对 各 种 家 用 设备 的 
控制 。 

(2) 中 心 协调 器 硬件 设计 。 中 心 协调 器 的 主要 功能 为 接收 传感器 节点 采集 的 数据 ,并 
解析 由 上 位 机 发 送 过 来 的 控制 命令 ,对 控制 节点 进行 控制 。 中 心 协调 器 控制 器 可 以 通过 键 
盘 电路 外 接 键 盘 和 LCD 接口 外 接 显示 屏 构 成 人 机 交互 界面 ,进行 信息 的 查询 和 控制 指令 的 
发 布 。 


4. 系统 软件 设计 


(1) 终端 节点 软件 设计 。 终 端 节 点 的 主要 功能 是 采集 数据 以 及 接受 控制 指令 对 设备 进 
行 控制 。 

(2) 中 心 协调 器 软件 设计 。 中 心 协调 器 主要 负责 组 网 ,接收 传感器 节点 采集 的 数据 ,并 
将 其 通过 以 太 网 接口 传输 到 上 位 机 ,同时 接收 上 位 机 发 送 的 控制 命令 ,以 实现 对 家 用 设备 的 
控制 。 


11.2.5 物 联 网 智能 监狱 监控 报警 系统 


监狱 安防 系统 有 报警 ,电视 监控 和 监听 等 子 系统 形成 了 一 个 整体 并 实现 联动 。 学 者 王 
玉 夫 在 《中国 公共 安全 (综合 版 ,2009-8)》 上 撰文 ,介绍 了 监狱 数字 视频 监控 报警 系统 。 下 面 
是 其 主要 介绍 。 


1. 系统 架构 


监狱 视频 识别 报警 系统 的 基本 结构 框架 如 图 11-8 所 示 。 该 监狱 报警 系统 为 二 级 联网 
架构 ,第 一 级 即 前 端 系统 ,其 为 传统 的 多 线 或 总 线 制 网 络 连接 报警 探测 设备 和 监控 摄像 机 ; 
第 二 级 为 IP 网 ,连接 相应 功能 的 网 络 设备 。 


2. 系统 组 成 


1) 第 一 级 联网 系统 

第 一 级 系统 由 3 部 分 组 成 。 

(1) 前 端 探测 及 摄像 设备 。 系 统 中 ( 即 某 监 区 内 ) 共 设置 若干 个 双 鉴 探测 器 、 紧 急 报 
警 按钮 .警号 .固定 摄像 机 及 带 云 台 摄 像 机 。 系 统 在 重要 部 位 ,如 枪弹 库 、 财 务 室 、 保 密室 
等 重要 部 位 安装 微波 被 动 红外 双 技 术 探 测 器 .手动 紧急 报警 按钮 。 在 罪犯 经 常 活动 的 场 
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所 ,如 号 房车 间 、 会 场 和 教室 等 处 安装 手动 紧急 报警 装置 ,方便 在 发 生 紧急 突 发 情况 时 
的 报警 。 系 统 在 所 属 监 区 安装 固定 或 带 云 台 摄像 机 ,摄像 机 能 与 报警 探测 器 对 应 ,以 实 
现 联 动 。 

(2) 控制 部 分 。 控 制 部 分 即 集成 报警 主机 , 它 接收 报警 探测 器 的 报警 信号 ,控制 云 台 
摄像 机 ,执行 报警 摄像 联动 ,接收 控制 中 心 管理 服务 器 命令 ,通过 IP 网 上 传 报警 和 图 像 
信息 。 

(3) 传输 部 分 。 集 成 报警 主机 与 前 端 双 鉴 探测 器 、 紧 急 报警 按钮 .警号 摄像 机 间或 以 
多 线 或 以 总 线 方式 连接 。 集 成 报警 主机 与 管理 服务 器 等 设备 以 IP 网 络 连 接 , 组 成 整个 监狱 
局 域 网 。 

2) 第 二 级 联网 系统 

第 二 级 主要 由 以 下 4 部 分 组 成 。 

(1) 管理 服务 器 。 对 网 络 设 备 ,特别 是 对 前 端 集成 报警 主机 进行 管理 ,接收 集成 报警 主 
机 上 传 的 报警 信息 ,发 出 对 集成 报警 主机 的 控制 命令 等 。 

(2) 报警 图 像 存储 IP-SAN。 通 过 网 络 接收 报警 联动 图 像 并 进行 存储 。 视 频 解码 器 及 
电视 墙 通过 网 络 接收 报警 联动 图 像 ,并 解码 为 模拟 信号 上 电视 墙 。 

(3) 集成 报警 主机 。 接 收报 警 探测 器 的 报警 信号 ,控制 云 台 摄像 机 ,执行 报警 摄像 联 
动 ,接收 控制 中 心 管理 服务 器 命令 ,通过 IP 网 上 传 报警 和 图 像 信息 。 

(4) IP 网 络 。 包 括 网 络 交换 设备 .路 由 设备 及 网 络 传输 媒质 (网 线 ) ,是 监狱 内 部 报警 专 
用 的 IP 网 络 。 


第 11 章 物 联网 安全 技术 应 用 “ \367 
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1. 填空 题 
(1) 感知 层 的 安全 需求 可 以 总 结 为 。 
(2) 结合 目前 业界 统一 的 认定 和 当前 流行 的 技术 ,初步 把 物 联 网 公共 安全 平台 设计 为 
5 个 层次 ,分 别 为 
2. 选择 题 
(1) 感知 层 的 安全 挑战 包括 下 列 ( 和 
A. 传 感 网 的 网 关节 点 被 敌手 控制 
B. 传 感 网 的 普通 节点 被 敌手 控制 
C. 传 感 网 的 普通 节点 被 敌手 捕获 
D. 传 感 网 的 节点 受到 来 自 于 网 络 的 DoS 攻击 
(2) 应 用 层 的 安全 挑战 和 安全 需求 主要 来 自 于 ( 中 
A. 如 何 面 对 海量 数据 的 处 理 和 存储 安全 
B. 如 何 根据 不 同 访问 权限 对 同一 数据 库 内 容 进行 筛选 
C. 如 何 提 供用 户 隐私 信息 保护 ,同时 又 能 正确 认证 
D. 如 何 对 数据 加 密 和 转移 
(3) 云 架 构 的 物 联网 公共 安全 平台 的 特点 有 ( 入 
A. 海量 数据 融合 能 力 B. 海量 数据 的 分 配 管理 能 力 
C. 架构 在 虚拟 层 上 的 进 阶 应 用 D. 存储 系统 的 静态 能 力 


1. 名 词 解释 

(1) 信息 安全 : 信息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶 
意 的 原因 而 遭 到 破坏 .更改 .泄露 ,系统 连续 可 靠 正 常 地 运行 ,信息 服务 不 中 断 。 

(2) 信息 保密 性 : 系统 中 有 密级 要 求 的 信息 只 能 经 过 特定 的 方式 传输 给 特定 的 对 象 ， 
确保 合法 用 户 对 该 信息 的 合法 访问 和 使 用 ,阻止 非 授权 的 主体 阅读 信息 。 

(3) 信息 完整 性 : 系统 保证 信息 在 存储 和 传输 的 过 程 中 保持 不 被 非法 存 取 、 偷 窃 、 自 
改 、 删 除 等 ,以 及 不 因 意 外 事件 的 发 生 而 使 信息 丢失 。 

2. 判断 题 

Cf) 

3. 填空 题 

(1) 保密 性 ”真实 性 ”完整 性 ”未 授权 拷贝 

(2) 信息 泄露 ”破坏 信息 的 完整 性 ”拒绝 服务 非法 使 用 窃听 业务 流 分 析 假冒 

旁 路 控制 ”授权 侵犯 抵赖 ”计算 机 病毒 ”信息 安全 法 律 法 规 不 完善 ( 填 4 个 即 可 ) 

(3) 保密 性 ”完整 性 ”可 用 性 

4. 选择 题 

A、B 

5. 简 答 题 

信息 安全 领域 人 们 所 关注 的 焦点 主要 有 密码 理论 与 技术 安全 协议 理论 与 技术 、 安 全 体 
系 结构 理论 与 技术 信息 对 抗 理 论 与 技术 、 网 络 安全 与 安全 产品 ,请 简单 介绍 一 下 。 

@ 密码 理论 与 技术 主要 包括 两 部 分 , 即 基于 数学 的 密码 理论 与 技术 (包括 公 钥 密码 、 分 
组 密码 、 序 列 密码 、 认 证 码 数字 签名 、Hash 函数 、 身 份 识别 、 密 钥 管理 .PKI 技术 等 ) 和 非 数 
学 的 密码 理论 与 技术 (包括 信息 隐形 、 量 子 密码 、 基 于 生物 特征 的 识别 理论 与 技术 )。 

@ 安全 协议 研究 主要 包括 两 方面 内 容 , 即 安全 协议 的 安全 性 分 析 方 法 研究 和 各 种 实用 
安全 协议 的 设计 与 分 析 研 究 。 安 全 协议 的 安全 性 分 析 方 法 主要 有 两 类 : 一 类 是 攻击 检验 方 
法 ; 另 一 类 是 形式 化 分 析 方法 ,其 中 形式 化 分 析 是 安全 协议 研究 中 最 关键 的 研究 问题 之 一 。 

@ 安全 体系 结构 理论 与 技术 主要 包括 安全 体系 模型 的 建立 及 其 形式 化 描述 与 分 析 , 安 
全 策略 和 机 制 的 研究 ,检验 和 评估 系统 安全 性 的 科学 方法 和 准则 的 建立 ,符合 这 些 模型 . 策 
略 和 准则 的 系统 的 研制 (如 安全 操作 系统 、 安 全 数据 库 系 统 等 ) 。 

@@ 信息 对 抗 理论 与 技术 主要 包括 黑客 防范 体系 ,信息 伪装 理论 与 技术 ,信息 分 析 与 监 
控 , 人 侵 检 测 原理 与 技术 ,反击 方法 ,应急 响应 系统 ,计算 机 病毒 ,人 工 免疫 系统 在 反 病 毒 和 


习题 参考 答案 


抗 人 侵 系统 中 的 应 用 等 。 

@ 网 络 安全 是 信息 安全 中 的 重要 研究 内 容 之 一 ,也 是 当前 信息 安全 领域 中 的 研究 热 
点 。 研 究 内 容 包括 网 络 安全 整体 解决 方案 的 设计 与 分 析 , 网 络 安全 产品 的 研发 等 。 网 络 安 
全 包括 物理 安全 和 逻辑 安全 。 物 理 安全 指 网 络 系统 中 各 通信 、 计 算 机 设备 及 相关 设施 的 物 
理 保护 , 免 于 破坏 、 丢 失 等 。 逻 辑 安全 包含 信息 完整 性 .保密 性 、 非 否认 性 和 可 用 性 。 它 涉及 
网 络 .操作 系统 数据库 .应 用 系统 和 人 员 管 理 等 方面 。 

6. 论述 题 

请 介绍 一 下 信息 安全 体系 发 展 的 历史 和 现状 。 

@ 早期 的 信息 安全 。 

密码 学 是 一 个 古老 的 学 科 , 其 历史 可 以 追溯 到 公元 前 5 世纪 希腊 城邦 为 对 抗 妈 役 和 侵 
略 , 与 波斯 发 生 多 次 冲突 和 战争 。 由 于 军事 和 国家 安全 的 需要 ,密码 学 的 研究 从 未 间断 。 

20 世纪 40 一 60 年 代 初 ,电子 计算 机 出 现 后 ,因为 其 体积 较 大 ,不 易 安置 ,碰撞 或 搬 动 过 
程 中 容易 受 损 ,因此 人 们 较 关 心 其 硬件 安全 。 

@ 70 年 代 信息 安全 。 

因为 密码 学 的 良好 基础 ,加 上 军事 和 国家 安全 的 需要 ,密码 学 研究 开始 与 计算 机 安全 结 
合 。 另 外 ,互联 网 的 崛起 也 刺激 了 网 络 安全 的 研究 。 这 个 时 期 的 研究 包括 密码 理论 与 技术 
研究 和 安全 体系 结构 理论 与 技术 研究 。 

@ 80 年 代 信息 安全 。 

20 世纪 80 年 代 末 , 国 际 互联 网 的 逐渐 普及 ,安全 保密 事件 频频 发 生 , 既 有 “ 硬 破坏 ”, 也 
有 “ 软 破 坏 ”, 因 而 这 一 阶段 的 计算 机 安全 不 但 重视 硬件 ,而 且 也 重视 软件 和 网 络 , 不 但 注重 
系统 的 可 靠 性 和 可 用 性 ,而 且 因 使 用 者 多 数 是 涉 密 的 军事 和 政府 部 门 ,因此 也 非常 关注 系统 
的 保密 性 。 这 个 时 期 的 研究 和 关注 点 包括 密码 理论 与 技术 研究 .安全 协议 理论 与 技术 研究 、 
安全 体系 结构 理论 与 技术 研究 .信息 对 抗 理论 与 技术 研究 。 

@ 90 年 代 信息 安全 。 

20 世纪 90 年 代 , 伴 随 着 计算 机 及 其 网 络 的 广泛 应 用 ,诸多 的 安全 事件 暴露 了 计算 机 系 
统 的 缺陷 ,这 使 计算 机 科学 家 和 生产 厂商 意识 到 ,如 果 不 堵 住 计算 机 及 网 络 自身 的 漏洞 , 犯 
罪 分 子 将 乘虚 而 入 ,不 但 造成 财产 上 的 损失 ,而 且 将 严重 阻碍 计算 机 技术 的 进一步 发 展 和 应 
用 。 这 个 时 期 的 研究 和 关注 点 包括 密码 理论 与 技术 研究 ,安全 协议 理论 与 技术 研究 、 安 全 体 
系 结构 理论 与 技术 研究 、 信 息 对 抗 理论 与 技术 研究 。 

@ 21 世纪 信息 安全 现状 。 

进入 21 世纪 ,密码 理论 研究 有 了 一 些 突破 ,安全 体系 结构 理论 更 加 完善 ,信息 对 抗 理论 
的 研究 尚未 形成 系统 ,网 络 安全 与 安全 产品 丰富 多 彩 。 这 个 时 期 的 研究 包括 密码 理论 与 技 
术 研 究 .安全 体系 结构 理论 与 技术 研究 、 信 息 对 抗 理论 与 技术 研究 .网 络 安全 与 安全 产品 
研究 。 


第 2 章 


1. 名 词 解释 
(1) 加 密 : 将 原始 数据 ( 称 为 明文 ) 转 化 成 一 种 看 似 随机 的 、 不 可 读 的 形式 ( 称 为 密 文 )。 
(2) 代 换 密码 : 用 不 同 的 位 、 字 符 、 字 符 串 来 代替 原来 的 位 \ 字 符 、 字 符 串 。 
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(3) 置换 密码 : 将 原来 的 文本 做 一 个 置换 ,即将 原来 的 位 、 字 符 、 字 符 串 重新 排列 以 隐 

(4) 密码 分 析 学 : 研究 在 不 知道 通常 解密 所 需要 的 秘密 信息 的 情况 下 对 加 密 的 信息 进 
行 解密 的 学 问 ,也 称 为 破解 密码 。 

(5) 椭圆 曲线 密码 学 : 基于 椭圆 曲线 数学 的 一 种 公 钥 密码 的 方法 。 

(6) PKI: 公 钥 基础 设施 ,是 一 种 遵循 既定 标准 的 密 钥 管理 平台 , 它 能 够 为 所 有 网 络 应 
用 提供 加 密 和 数字 签名 等 密码 服务 ,以 及 所 必需 的 密 钥 和 证 书 管理 体系 。 

(7) 密 钥 托管 技术 : 一 种 能 够 在 紧急 情况 下 获取 解密 信息 的 技术 。 

2. 判断 题 

CD ADOIY RY RE 

3. 填空 题 

(1) 安全 传输 ”安全 存储 ”密码 编码 ”密码 分 析 

(2) 信息 加 密 ” 信 息 认证 ”数字 签名 ” 密 钥 管理 

(3) 分 组 密码 ”序列 密码 

(4) 静态 密码 ”智能 卡 ”短信 密码 ”动态 口令 牌 USB KEY OCL 数字 签名 生 
物 识别 技术 Infogo 身份 认证 ” 双 因 素 身份 认证 “门禁 应 用 ( 填 4 项 即 可 ) 

(5) 基本 密 钥 ”会 话 密 钥 ” 密 钥 加 密 ” 主 机 密 钥 

(6) 权威 认证 机 构 ”数字 证 书库 ” 密 钥 备份 及 恢复 系统 ”证 书 作 废 系统 ”应 用 接口 

4. 选择 题 

Cy 入 再 AD ABCD (BC FBED, (5 ABD 0% B 

5. 简 答题 

(1) 请 介绍 对 称 密码 的 两 种 类 型 ,并 比较 它们 。 

QO 序列 密码 ,也 称 为 流 密码 ,是 对 称 密码 算法 的 一 种 。 序 列 密码 具有 实现 简单 、 便 于 硬 
件 实 施 、 加 解密 处 理 速 度 快 、 没 有 或 只 有 有 限 的 错误 传播 等 特点 ,因此 在 实际 应 用 中 ,特别 是 
专用 或 机 密 机 构 中 保持 着 优势 ,典型 的 应 用 领域 包括 无 线 通信 、 外 交通 信 。 如 果 序 列 密码 所 
使 用 的 是 真正 随机 方式 的 ,与 消息 流 长 度 相同 的 密 钥 流 , 则 此 时 的 序列 密码 就 是 一 次 一 密 的 
密码 体制 。 若 能 以 一 种 方式 产生 一 随机 序列 ( 密 钥 流 ) ,这 一 序列 由 密 钥 所 确定 , 则 利用 这 样 
的 序列 就 可 以 进行 加 密 , 即 将 密 钥 明文 表示 成 连续 的 符号 或 二 进 制 ,对 应 地 进行 加 密 。 流 
密码 的 基本 模型 如 图 2-1 所 示 。 
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图 2-1 流 密码 的 基本 模型 
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@ 分 组 密码 是 将 明文 消息 编码 表示 后 的 数字 (简称 明文 数字 ) 序 列 划 分 成 长 度 为 n 的 
组 (可 看 成 长 度 为 n 的 矢量 ) ,每 组 分 别 在 密 钥 的 控制 下 变换 成 等 长 的 输出 数字 (简称 密 文 数 
字 ) 序 列 。 若 明文 流 被 分 割 成 等 长 串 , 各 串 用 相同 的 加 密 算 法 和 相同 的 密 钥 进行 加 密 , 就 是 
分 组 密码 , 见 图 2-2。 


明文 M _| 明文 M_ 


2-2 分 组 密码 的 基本 模型 


序列 密码 与 分 组 密码 的 对 比 

分 组 密码 以 一 定 大 小 作为 每 次 处 理 的 基本 单元 ,而 序列 密码 则 是 以 一 个 元 素 ( 一 个 字母 
或 一 位 ) 作 为 基本 的 处 理 单元 。 

序列 密码 是 一 个 随时 间 变 化 的 加 密 变 换 , 具 有 和 转换 速度 快 、 低 错误 传播 的 优点 ,硬件 实 
现 电路 更 简单 。 其 缺点 是 低 扩散 (意味 着 混乱 不 够 ) .插入 及 修改 的 不 敏感 性 。 

分 组 密码 使 用 的 是 一 个 不 随时 间 变 化 的 固定 变换 ,具有 扩散 性 好 、 插 入 敏感 等 优点 。 其 
缺点 是 加 解密 处 理 速度 慢 存在 错误 传播 。 

序列 密码 涉及 大 量 的 理论 知识 ,提出 了 众多 的 设计 原理 ,也 得 到 了 广泛 的 分 析 , 但 许多 
研究 成 果 并 没有 完全 公开 ,这 也 许 是 因为 序列 密码 目前 主要 应 用 于 军事 和 外 交 等 机 密 部 门 
的 缘故 。 目 前 ,公开 的 序列 密码 算法 主要 有 RC4、SEAL 等 。 

(2) 请 简单 介绍 AES 算法 的 方法 和 步骤 。 

AES 是 一 种 分 组 加 密 的 算法 。AES 加 密 数据 块 分 组 长 度 为 128 位 , 密 钥 长 度 可 以 是 
128 位 192 位 .256 位 中 的 任意 一 个 。AES 加 密 过 程 是 在 一 个 4X4 的 字 节 和 矩阵 上 运作 ,这 
个 矩阵 又 称 为 “ 体 ”, 其 初 值 就 是 一 个 明文 区 块 。 加 密 时 ,各 轮 AES 加 密 循环 均 包 含 4 个 
步骤。 

第 一 步 AddRoundKey: 和 矩阵 中 的 每 一 个 字 节 都 与 该 次 回合 密 钥 做 XOR 运算 ; 每 个 子 
密 钥 由 密 钥 生 成 方案 产生 。 

第 二 步 SubBytes: 通过 一 个 非 线性 的 替换 函数 ,用 查找 表 的 方式 把 每 个 字 节 替换 成 对 
应 的 字 节 。 

第 三 步 ShiftRows: 将 矩阵 中 的 每 个 横 列 进行 循环 式 移 位 。 

第 四 步 MixColumns: 为 了 充分 混合 矩阵 中 各 个 直行 的 操作 。 这 个 步骤 使 用 线性 转换 
来 混合 每 次 内 联 的 4 个 字 节 。 

最 后 一 个 加 密 循环 中 省 略 MixColumns 步骤 ,而 以 另 一 个 AddRoundKey 取代 。 

(3) IDEA 算法 原理 是 什么 ? 

IDEA 是 一 种 由 8 个 相似 圈 和 一 个 输出 变换 组 成 的 迭代 算法 。IDEA 的 每 个 圈 都 由 三 
种 函数 : 模 (216 十 1) 乘 法 、 模 216 加 法 和 按 位 XOR 组 成 。 

在 加 密 之 前 ,IDEA 通过 密 钥 扩 展 将 128 位 的 密 钥 扩 展 为 52Byte 的 加 密 密 钥 EK ,然后 
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由 EK 计算 出 解密 密 钥 DK。EK 和 DK 分 为 8 组 半 密 钥 ,每 组 长 度 为 6Byte, 前 8 组 密 钥 用 
于 8 圈 加 密 , 最 后 半 组 密 钥 用 于 输出 变换 。IDEA 的 加 密 过 程 和 解密 过 程 是 一 样 的 ,只 不 过 
使 用 不 同 的 密 钥 。 

密 钥 扩展 的 过 程 如 下 : 

@ 将 128 位 的 密 钥 作为 EK 的 前 8byte; 

@ 将 前 8byte 循环 左 移 25 位 ,得 到 下 一 8byte, 将 这 个 过 程 循环 7 次 ; 

@ 在 第 7 次 循环 时 , 取 前 4byte 作为 EK 的 最 后 4byte。 

至 此 ,52byte 的 EK 生成 完毕 。 

(4) 简单 介绍 数字 签名 技术 。 

数字 签名 是 公开 密 钥 加 密 技术 的 一 类 应 用 。 它 的 主要 方式 是 : 报 文 的 发 送 方 从 报 文 文 
本 中 生成 一 个 128 位 的 散 列 值 。 发 送 方 用 自己 的 专用 密 钥 对 这 个 散 列 值 进行 加 密 来 形成 发 
送 方 的 数字 签名 。 然 后 ,这 个 数字 签名 将 作为 报 文 的 附件 和 报 文 一 起 发 送 给 报 文 的 接收 方 。 
报 文 的 接收 方 首先 从 接收 到 的 原始 报 文中 计算 出 128 位 的 散 列 值 (或 报 文摘 要 ) ,接着 再 用 
发 送 方 的 公开 密 钥 对 报 文 附 加 的 数字 签名 进行 解密 。 如 果 两 个 散 列 值 相同 ,那么 接收 方 就 
能 确认 该 数字 签名 是 发 送 方 的 。 通 过 数字 签名 能 够 实现 对 原始 报 文 的 鉴别 和 不 可 抵赖 性 。 

6. 论述 题 

(1) PKI 的 优势 主要 表现 在 哪些 方面 ? 

Q@ 采用 公开 密 钥 密码 技术 ,能够 支持 可 公开 验证 并 无 法 仿冒 的 数字 签名 ,从 而 在 支持 
可 追究 的 服务 上 具有 不 可 替代 的 优势 。 这 种 可 追究 的 服务 也 为 原 发 数据 完整 性 提供 了 更 高 
级 别 的 担保 。 支 持 可 以 公开 地 进行 验证 ,或 者 说 任意 的 第 三 方 可 验证 ,能 更 好 地 保护 弱势 个 
体 ,完善 平等 的 网 络 系统 间 的 信息 和 操作 的 可 追究 性 。 

@ 由 于 密码 技术 的 采用 ,保护 机 密 性 是 PKI 最 得 天 独 厚 的 优点 。PKI 不 仅 能 够 为 相互 
认识 的 实体 之 间 提 供 机 密 性 服务 ,同时 也 可 以 为 陌生 的 用 户 之 间 的 通信 提供 保密 支持 。 

@ 由 于 数字 证 书 可 以 由 用 户 独 立 验证 ,不 需要 在 线 查 询 , 原 理 上 能 够 保证 服务 范围 无 
限制 地 扩张 ,这 使 得 PKI 能 够 成 为 一 种 服务 巨大 用 户 群 的 基础 设施 。PKI 采用 数字 证 书 方 
式 进行 服务 , 即 通过 第 三 方 颁发 的 数字 证 书证 明 末 端 实体 的 密 钥 ,而 不 是 在 线 查 询 或 在 线 分 
发 。 这 种 密 钥 管理 方式 突破 了 过 去 安全 验证 服务 必须 在 线 的 限制 。 

@ PKI 提供 了 证 书 的 撤销 机 制 ,从 而 使 得 其 应 用 领域 不 受 具体 应 用 的 限制 。 撤 销 机 制 
提供 了 在 意外 情况 下 的 补救 措施 ,在 各 种 安全 环境 下 都 可 以 让 用 户 更 加 放心 。 另 外 ,因为 有 
撤销 技术 ,不论 是 永远 不 变 的 身份 ,还 是 经 常 变 换 的 角色 ,都 可 以 得 到 PKI 的 服务 而 不 用 担 
心 被 窃 后 身份 或 角色 被 永远 作废 或 被 他 人 恶意 次 用 。 为 用 户 提供 “改正 错误 ”或 后悔” 的 途 
径 是 良好 工程 设计 中 必需 的 一 环 。 

@ PKI 具有 极 强 的 互联 能 力 。 不 论 是 上 下 级 的 领导 关系 ,还 是 平等 的 第 三 方 信任 关 
系 ,PKI 都 能 够 按照 人 类 世界 的 信任 方式 进行 多 种 形式 的 互联 互通 ,从 而 使 PKI 能 够 很 好 
地 服务 于 符合 人 类 习惯 的 大 型 网 络 信 息 系 统 。PKI 中 各 种 互联 技术 的 结合 使 建设 一 个 复杂 
的 网 络 信任 体系 成 为 可 能 。PKI 的 互联 技术 为 消除 网 络 世界 的 信息 孤岛 提供 了 充足 的 技术 
保障 。 

(2) 密 钥 托管 思想 有 哪 几 种 ? 请 简单 介绍 一 下 。 

@ 门限 密 钥 托管 思想 。 门 限 密 钥 托管 的 思想 是 将 门限 方案 和 密 钥 托管 算法 相 结合 。 
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这 个 思想 的 出 发 点 是 将 一 个 用 户 的 私 钥 分 为 n 个 部 分 ,每 一 部 分 通过 秘密 信道 交 给 一 个 托 
管 代 理 。 在 密 钥 恢复 阶段 ,在 其 中 不 少 于 & 个 托管 代理 参与 下 ,可 以 恢复 出 用 户 的 私 钥 , 而 
任意 少 于 的 托管 代理 都 不 能 够 恢复 出 用 户 的 私 钥 。 如 果 一 ”这 种 密 钥 托管 就 退化 为 
(n,n) 密 钥 托 管 , 即 在 所 有 托管 机 构 的 参与 下 才能 恢复 出 用 户 私 钥 。 

加 部 分 密 钥 托管 思想 。 所 谓 部 分 密 钥 托管 ,就 是 把 整个 私 钥 c 分 成 两 个 部 分 zx0 和 a， 
使 得 c< 二 x0 十 a, 其 中 a 是 小 位 数 ,zx0 是 被 托管 的 密 钥 。z0 分 成 许多 份子 密 钥 ,它们 分 别 被 
不 同 的 托管 机 构 托 管 ,只 有 足够 多 的 托管 机 构 合 在 一 起 才能 恢复 xz0。 监 听 机 构 在 实施 监听 
时 依靠 托管 机 构 只 能 得 到 z0, 要 得 到 用 户 的 私 钥 ,就 需要 穷 举 搜 出 a。 

@ 时 间 约 束 下 的 密 钥 托管 思想 。 政 府 的 密 钥 托管 策略 是 想 为 公众 提供 一 个 更 好 的 密 
码 算法 ,但 是 又 保留 监听 的 能 力 。 对 于 实际 用 户 来 说 , 密 钥 托管 并 不 能 够 带 来 任何 好 处 ,但 
是 从 国家 安全 出 发 ,实施 电子 监视 是 必要 的 。 因 此 ,关键 在 寻找 能 够 最 大 程度 保障 个 人 利益 
的 同时 又 能 保证 政府 监视 的 体制 。A. K. Lenstra 等 人 提出 了 在 时 间 约 束 下 的 密 钥 托 管 方 
案 , 它 既 能 较 好 地 满足 尽量 保障 个 人 利益 ,同时 又 能 保证 政府 监视 的 体制 。 时 间 约 束 下 的 密 
钥 托 管 方案 限制 了 监听 机 构 监 听 的 权限 和 范围 。 方 案 有 效 地 加 强 了 对 密 钥 托管 中 心 的 管 
理 , 同 时 也 限制 了 监听 机 构 的 权力 ,保证 了 密 钥 托管 的 安全 性 ,更 容易 被 用 户 信任 与 接受 。 


第 3 章 


1. 名 词 解释 

(1) 物理 安全 : 为 保证 信息 系统 的 安全 可 靠 运行 ,降低 或 阻止 人 为 或 自然 因素 从 物理 
层面 对 信息 系统 保密 性 、 完 整 性 、 可 用 性 带 来 的 安全 威胁 ,从 系统 的 角度 采取 的 适当 安全 
措施 。 

(2) 设备 安全 技术 : 主要 是 指 保障 构成 信息 网 络 的 各 种 设备 ,网络 线路 ,供电 连接 、 各 
种 媒体 数据 本 身 以 及 其 存储 介质 等 安全 的 技术 。 

(3) 数据 安全 : 为 数据 处 理 系 统 建立 和 采用 的 技术 和 管理 的 安全 保护 ,保护 计算 机 硬 
件 、 软 件 和 数据 不 因 偶然 和 恶意 的 原因 章 到 破坏 、 更 改 和 泄露 。 确 保 网 络 数据 的 可 用 性 、 完 
整 性 和 保密 性 。 

(4) 硬盘 数据 擦 除 技术 : 通过 相关 的 硬盘 数据 擦 除 技术 及 硬盘 数据 擦 除 工 具 , 将 硬盘 
上 的 数据 彻底 删除 ,无 法 恢复 。 

2. 判断 题 

CL XY (2) (V) 

3. 填空 题 

(1) 干扰 源 ”传播 途径 ”接受 载体 

(2) 温度 电源 地 板 监控 

(3) 硬盘 驱动 器 损坏 ”光盘 损坏 ”UU 盘 损 坏 ”信息 窃取 自然 灾害 ”电源 故障 ” 磁 干 
扰 ( 填 4 个 即 可 ) 

4. 简 答题 

(1) 数据 采集 外 界 抗 干扰 措施 有 哪些 ? 

为 了 提高 电子 设备 的 抗 干扰 能 力 , 除 在 芯片 部件 上 提高 抗 干扰 能 力 外 ,主要 的 措施 有 
屏蔽 、 隔 离 ,滤波 、 吸 波 和 接地 等 ,其 中 屏蔽 是 应 用 最 多 的 方法 。 
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Q@ 屏蔽 是 利用 导电 或 导 磁 材 料 制 成 的 盒 状 或 过 状 屏蔽 体 , 将 干扰 源 或 干扰 对 象 包围 起 
来 从 而 割断 或 削弱 干扰 场 的 空间 耦合 通道 ,阻止 其 电磁 能 量 的 传输 。 

@ 隔离 是 指 把 干扰 源 与 接收 系统 隔离 开 来 ,使 有 用 信和 号 正常 传输 ,而 干扰 耦合 通道 被 
切断 ,达到 抑制 干扰 的 目的 。 常 见 的 隔离 方法 有 光电 隔离 .变压器 隔离 和 继电器 隔离 。 

@ 滤波 是 抑制 干扰 传导 的 一 种 重要 方法 。 由 于 干扰 源 发 出 电磁 干扰 频谱 往往 比 要 接 
收 的 信号 的 频谱 宽 得 多 ,因此 , 当 接 收 器 接收 有 用 信和 号 时 ,也 会 接收 到 那些 不 希望 有 的 干扰 。 
这 时 可 以 采用 滤波 的 方法 ,只 让 所 需要 的 频率 成 分 通过 ,而 将 干扰 频率 成 分 加 以 抑制 。 

@ 将 电路 .设备 机 壳 等 与 作为 零 电 位 的 一 个 公共 参考 点 (大 地 ) 实 现 低 阻 抗 的 连接 称 为 
接地 。 

@ 用 软件 来 识别 有 用 信号 和 干扰 信号 ,并 滤 除 干扰 信号 的 方法 称 为 软件 滤波 。 

(2) 设备 安全 策略 有 哪些 ? 

设备 不 能 工作 ,人 为 损坏 ,设备 过 时 等 问题 可 采用 以 下 方法 : 

@ 设备 改造 。 是 对 由 于 新 技术 出 现 , 在 经 济 上 不 宜 继续 使 用 的 设备 进行 局 部 的 更 新 ， 
即 对 设备 的 第 二 种 无 形 磨损 的 局 部 补偿 。 

@ 设备 更 换 。 设 备 更 新 的 重要 形式 ,分 为 原型 更 新 和 技术 更 新 。 原 型 更 新 即 简单 更 
新 ,用 结构 相同 的 新 设备 更 换 因为 严重 有 形 磨损 而 在 技术 上 不 宜 继续 使 用 的 旧 设 备 。 这 种 
更 换 主要 解决 设备 的 损坏 问题 ,不 具有 技术 进步 的 性 质 。 

@ 技术 更 新 。 用 技术 上 更 先进 的 设备 去 更 换 技术 陈旧 的 设备 。 它 不 仅 能 恢复 原 有 设 
备 的 性 能 ,而 且 使 设备 具有 更 先进 的 技术 水 平 ,具有 技术 进步 的 性 质 。 

@ 备份 机 制 。 即 两 台 设备 一 起 工作 。 也 称 为 双 工 , 指 两 台 或 多 台 服 务 器 均 为 活动 , 同 
时 运行 相同 的 应 用 ,保证 整体 的 性 能 ,也 实现 了 负载 均衡 和 互 为 备份 。 双 机 双 工 模式 是 目前 
群集 的 一 种 形式 。 

@ 监控 报警 。 监 控 报 警 是 安全 报警 与 设备 监控 的 有 效 融 合 。 监 控 报 警 系统 包括 安全 
报警 和 设备 监控 两 个 部 分 。 当 设备 出 现 问题 时 ,监控 报警 系统 可 以 迅速 发 现 问题 ,并 及 时 通 
知 责任 人 进行 故障 处 理 。 

(3) 常用 的 数据 安全 防护 技术 有 哪些 ? 

QO 磁盘 阵列 。 磁 盘 阵 列 是 指 把 多 个 类 型 容量 接口 甚至 品牌 一 致 的 专用 磁盘 或 普通 
硬盘 连 成 一 个 阵列 ,使 其 以 更 快 的 速度 、 准 确 、 安 全 的 方式 读 写 磁 盘 数 据 , 从 而 达到 数据 读 取 
速度 和 安全 性 的 一 种 手段 。 

@ 数据 备份 。 备 份 管理 包括 备份 的 可 计划 性 ,自动 化 操作 ,历史 记录 的 保存 或 日 志 
记录 。 

@ 双 机 容错 。 双 机 容错 的 目的 在 于 保证 系统 数据 和 服务 的 在 线性 , 即 当 某 一 系统 发 生 
故障 时 ,仍然 能 够 正常 地 向 网 络 系统 提供 数据 和 服务 ,使 得 系统 不 至 于 停顿 。 双 机 容错 的 目 
的 在 于 保证 数据 不 丢失 和 系统 不 停机 。 

@ 网 络 存储 技术 NAS。NAS 解决 方案 通常 配置 为 作为 文件 服务 的 设备 ,由 工作 站 或 
服务 器 通过 网 络 协议 和 应 用 程序 进行 文件 访问 ,大 多 数 NAS 链接 在 工作 站 客户 端 和 NAS 
文件 共享 设备 之 间 进 行 。 

@ 数据 迁移 。 由 在 线 存储 设备 和 离线 存储 设备 共同 构成 一 个 协调 工作 的 存储 系统 ,该 
系统 在 在 线 存储 和 离线 存储 设备 间 动 态 的 管理 数据 ,使 得 访问 频率 高 的 数据 存放 于 性 能 较 
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高 的 在 线 存 储 设备 中 ,而 访问 频率 低 的 数据 存放 于 较为 廉价 的 离线 存储 设备 中 。 

@ 异地 容 灾 。 以 异地 实时 备份 为 基础 的 高 效 、 可 靠 的 远程 数据 存储 。 在 各 单位 的 IT 
系统 中 必然 有 核心 部 分 ,通常 称 为 生产 中 心 ,往往 给 生产 中 心 配备 一 个 备份 中 心 ,该 备份 中 
心 是 远程 的 ,并 且 在 生产 中 心 的 内 部 已 经 实施 了 各 种 各 样 的 数据 保护 。 不 管 怎么 保护 , 当 火 
灾 、 地 震 这 种 灾难 发 生 时 ,一 旦 生产 中 心 瘫 疾 了 ,备份 中 心 会 接管 生产 ,继续 提供 服务 。 

@ 存储 区 域 网 络 SAN。 它 是 一 个 集中 式 管理 的 高 速 存储 网 络 ,由 多 供应 商 存 储 系统 、 
存储 管理 软件 、 应 用 程序 服务 器 和 网 络 硬件 组 成 SAN。SAN 允许 服务 器 在 共享 存储 装置 
的 同时 仍 能 高 速 传送 数据 。 这 一 方案 具有 带宽 高 、 可 用 性 高 容错 能 力 强 的 优点 ,而 且 它 可 
以 轻松 升级 ,容易 管理 ,有 助 于 改善 整个 系统 的 总 体 成 本 状况 。 

(4) 简单 介绍 数据 恢复 的 方法 。 

数据 恢复 只 是 一 种 技术 手段 ,将 保存 在 计算 机 笔记 本 、 服 务 器 、 存 储 磁带 库 ,移动 硬盘 、 
U 盘 \ 数 码 存储 卡 和 MP3 等 设备 上 丢失 的 数据 进行 抢救 和 恢复 的 技术 。 具 体 方 法 有 : 

@ 硬件 故障 的 数据 恢复 。 首 先是 诊断 ,找到 问题 点 ,修复 相应 的 硬件 故障 ,然后 进行 数 
据 恢 复 。 

@ 磁盘 阵列 (RAID) 数 据 恢复 。 首 先是 排除 硬件 故障 ,然后 分 析 阵 列 顺序 . 块 大 小 等 参 
数 ,用 阵列 卡 或 阵列 软件 重组 , 按 常规 方法 恢复 数据 。 

@ U 盘 数据 恢复 。U 盘 、XD 卡 、.SD 卡 、.CF 卡 .Memory Stick、SM 卡 .MMC 卡 .MP3、 
MP4 .记忆 棒 、 数 码 相 机 、.DV、 微 硬盘 .光盘 和 软盘 等 各 类 存储 设备 数据 介质 损坏 或 出 现 电路 
板 故 障 、 磁 头 偏 移 、 盘 片 划 伤 等 情况 下 ,采用 开 体 更 换 、 加 载 和 定位 等 方法 进行 数据 修复 。 

5. 论述 题 

国内 外 物理 安全 技术 相关 标准 有 哪些 ? 

@ CC 准则 

CC 准则 自 1985 年 启动 ,1999 年 国际 标准 ISO 发 布 15408 标准 。 我 国 于 2001 年 将 
ISO/IEC 15408 转化 为 国家 标准 GB/T 18336 一 2001《 信 息 技术 安全 性 评估 准则 》。 

CC 在 对 安全 保护 框架 和 安全 目标 的 一 般 模型 进行 介绍 以 后 ,分 别 从 安全 功能 和 安全 
保证 两 方面 对 IT 安全 技术 的 要 求 进行 了 详细 描述 。CC 适用 于 硬件 .固件 和 软件 实现 的 信 
息 技 术 安全 措施 。CC 明确 指出 不 在 其 范围 的 内 容 包 括 与 信息 技术 安全 措施 没有 直接 关联 
的 属于 行政 管理 的 安全 措施 ; 信息 技术 安全 性 的 物理 方面 ; 密码 算法 的 质量 评价 。 

CC 中 涉及 物理 安全 技术 的 安全 功能 至 少 有 以 下 两 个 : 一 是 TSF 等 级 保护 类 中 的 物理 
保护 ; 二 是 资源 利用 类 。TSF 物理 保护 安全 功能 是 指 限 制 未 授权 的 TSF 物理 访问 ,阻止 并 
抵抗 未 授权 的 TSF 物理 修改 或 替换 ,包括 物理 攻击 被 动 检测 ,物理 攻击 报告 以 及 物理 攻击 
抵抗 等 内 容 。 资 源 利用 类 包括 故障 容错 、 服 务 优先 级 和 资源 分 配 等 安全 功能 。 

@ NIST 标准 

美国 国家 标准 与 技术 局 制定 了 美国 联邦 信息 处 理 标准 (FIPS)、 专 用 出 版 物 等 系列 文 
档 , 对 信息 系统 安全 的 实施 进行 了 完整 的 描述 。 

NIST 的 SP800-53《 联 邦 信息 系统 推荐 安全 控制 ) 为 不 同 级 别 的 系统 推荐 了 不 同 强 度 的 
安全 控制 集 。SP800-53 中 提出 了 三 类 安全 控制 : 管理 .技术 和 运行 。 每 类 又 分 若干 个 族 
( 共 18 个 ) ,每 个 族 又 由 不 同 的 安全 控制 组 成 ( 共 390 个 )。 运 行 控制 对 物理 和 环境 保护 、 介 
质保 护 提出 了 要 求 。 其 中 物理 和 环境 等 级 保护 包括 物理 和 环境 保护 策略 和 程序 、 授 权 物 理 
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访问 ,物理 访问 的 控制 ,传输 介质 访问 控制 .显示 设备 访问 控制 物理 访问 监视 ,访客 控制 . 访 
问 日 志 、 电 力 设 施 和 电缆 应急 开关 ,应 急电 源 、 应 急 照 明 、 防 火 ,温度 湿度 控制 .防水 、 设 备 递 
送 和 移交 、 更 蔡 工 作 场 所 17 个 安全 控制 项 ; 介质 保护 包括 介质 保护 策略 和 程序 .介质 访问 、 
介质 标记 、 介 质 存 储 、 介 质 传送 .介质 清 洗 、 介 质 销 毁 及 处 理 7 个 安全 控制 项 。 

@ DOD 标准 

美国 国防 部 在 2003 年 2 月 发 布 了 信息 保障 实施 指导 书 (8500. 2) ,区别 于 SP800-53 中 
“类 ”的 概念 ,8500. 2 提出 了 * 域 ”的 概念 ,8 个 主题 域 分 别 为 安全 设计 与 配置 .标识 与 鉴别 、 飞 
地 与 计算 环境 、 飞 地 边界 防御 \ 物 理 和 环境 、 人 员 、 连 续 性 、 脆 弱 性 和 事件 管理 。 每 个 主题 域 
包含 若干 个 安全 控制 。 为 保证 系统 可 用 性 、 完 整 性 ,物理 和 环境 域 信息 系统 物理 安全 等 级 保 
护 标准 研究 包括 以 下 控制 措施 : 应 急 照 明 、 火 灾 探 测 、 火 灾 检 查 、 灭 火 系 统 、 湿 度 控制 、 主 电 
源 切 换 、 屏 幕 保护 、 温 度 控制 .环境 控制 训练 .电压 调整 等 。 为 保证 系统 机 密 性 ,物理 和 环境 
域 包括 以 下 控制 措施 : 计算 设备 访问 、 清 洗 及 清除 销毁、 敏感 数据 拦截 ,设施 物理 保护 、 物 
理 安全 测试 .工作 场所 安全 程序 .储存 .计算 设施 访客 控制 等 。 

@ IATF 标准 

1998 年 ,美国 国家 安全 局 (NSA) 制 定 了 《信息 保障 技术 框架 》, 为 保护 美国 政府 和 工业 
界 的 信息 与 信息 技术 设施 提供 技术 指南 。IATF 从 整体 .过 程 的 角度 看 待 信息 安全 问题 ,其 
代表 理论 为 “深度 防护 战略 ”。IATF 强调 人 、 技 术 、 操 作 这 三 个 核心 原则 ,关注 4 个 信息 安 
全 保障 领域 : 网 络 与 基础 设施 、 飞 地 边界 计算 环境 和 支撑 性 基础 设施 。 

IATF 提出 的 “ 飞 地 (enclave) "是 指 通 过 局 域 网 相互 连接 、 采 用 单一 安全 策略 并 且 不 考 
虑 物理 位 置 的 本 地 计算 设备 的 集合 。 通 过 飞 地 边界 等 级 保护 框架 ,IATF 对 信息 系统 的 物 
理 边 界 和 轩 辑 边界 进行 了 划分 ,并 对 逻辑 边界 保护 提出 了 控制 措施 。 

@ BS7799 标准 

BS7799 是 英国 标准 协会 针对 信息 安全 管理 而 制定 的 标准 ,最 早 始 于 1995 年 。 标 准 包 
括 两 部 分 : BS7799 1: 1999《 信 息 安全 管理 实施 细则 》 和 BS7799-2: 2002 信 息 安全 管理 体系 
规范 》。2000 年 12 月 ,BS7799. 1 正式 成 为 国际 标准 ISO17799,2005 年 10 月 BS7799-2 正 
式 成 为 国际 标准 ISO/ 焉 C27001: 2005。BS7799. 1 为 建立 并 实施 信息 安全 管理 体系 提供 了 
指导 性 准则 ,BS7799. 2 为 建立 信息 安全 管理 体系 提供 了 一 套 规范 ,详细 说 明了 建立 、 实 施 和 
维护 信息 安全 管理 体系 的 要 求 。 

BS7799-1 标准 包括 安全 策略 ,安全 机 构 ,资产 分 级 与 控制 人 员 安 全 物理 与 环境 、 通 信 
与 操作 管理 ,访问 控制 .系统 开发 与 维护 ,业务 持续 管理 ,符合 性 10 大 管理 要 项 。 其 中 物理 
与 环境 部 分 具体 包括 安全 区 域 (物理 安全 周边 ,物理 实体 控制 措施 .安全 办 公 室 房间 和 设施 、 
在 安全 区 域 中 工作 、 隔 离 的 传递 和 装载 区 域 ). 设 备 安全 (设备 安装 安置 和 保护 .电源 供应 、. 电 
缆 安 全 .设备 维护 .离开 建筑 物 的 设备 的 安全 、 安 全 丢弃 或 重用 设备 ) .一 般 控 制 措施 (桌面 清 
理 和 屏幕 清理 策略 .财产 的 移动 ) 。 

@ 通用 安全 技术 要 求 

GB/T 20271 一 2006《 信 息 安 全 技术 信息 系统 ,通用 安全 技术 要 求 ) 是 我 国信 息 安全 等 级 
保护 的 基础 核心 标准 ,全 面 、 系 统 地 描述 了 建立 安全 的 计算 机 信息 系统 所 应 采用 的 安全 技术 
和 措施 。 

GB/T 20271 一 2006 从 环境 、 设 备 和 记录 介质 等 方面 对 物理 安全 提出 了 要 求 。 环 境 安 
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全 由 中 心机 房 安 全 保护 和 通信 线路 的 安全 防护 两 部 分 组 成 。 其 中 ,中 心机 房 安 全 等 级 保护 
具体 包括 场地 选择 、 内 部 安全 防护 防火、 供 配 电 、 空 调 及 降温 、 防 水 与 防潮 、 防 静电 接地 与 
防 雷 击 .电磁 防护 等 要 求 。 设 备 安全 包括 设备 的 防盗 和 防 毁 .设备 的 安全 可 用 。 


第 4 章 
1. 名 词 解释 
(1) 防火 墙 : 是 一 项 协助 确保 信息 安全 的 设备 ,会 依照 特定 的 规则 ,允许 或 是 限制 传输 
的 数据 通过 。 


(2) 入 侵 检测 : 对 入 侵 行为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 .安全 日 志 、 审 计数 
据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ,检查 网 络 或 系统 中 是 
否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 

(3) 访问 控制 : 在 身份 认证 的 基础 上 ,依据 授权 对 提出 的 资源 访问 请 求 加 以 控制 。 

(4) VPN: 虚拟 专用 网 络 , 指 的 是 在 公用 网 络 上 建立 专用 网 络 的 技术 。 

(5) PPTP: 点 对 点 隧道 协议 ,是 一 种 用 于 让 远程 用 户 拨号 连接 到 本 地 的 ISP, 通 过 因 特 
网 安全 远程 访问 公司 资源 的 新 型 技术 。 

(6) 计算 机 病毒 : 一 种 人 为 编制 能 够 对 计算 机 正常 程序 的 执行 或 数据 文件 造成 破坏 ， 
并 且 能 够 自我 复制 的 一 组 指令 程序 代码 。 

(7) DDoS 攻击 : 利用 足够 数量 的 便 偶 机 产生 数目 巨大 的 攻击 数据 包 对 一 个 或 多 个 目 
标 实施 DoS 攻击 , 耗 尽 受害 端的 资源 ,使 受害 主机 丧失 提供 正常 网 络 服务 的 能 力 。 

2. 判断 题 

DE 4 

3. 填空 题 

(1) 特殊 设计 的 硬件 防火 墙 、 数 据 包 过 滤 型 ”电路 层 网 关 ”应 用 级 网 关 

(2) 特征 检测 ”异常 检测 

(3) 模式 匹配 统计 分 析 ”完整 性 分 析 

(4) 主体 客体 安全 访问 策略 

(5) 使 用 VPN 可 降低 成 本 “传输 数据 安全 可 靠 ”连接 方便 灵活 “完全 控制 

(6) RSVP 子 网 带宽 管理 政策 机 制 

(7) 感染 性 ”潜伏 性 ”触发 性 

(8) 设置 防火 墙 、 数 据 加 密 ” 入 侵 检测 

4. 选择 题 

Cy BICD. 2) ABAC (3Y ACAD CW BC (SN BsaG oY MBE (FC 
(8) A.B.D 

5. 简 答题 

(1) 防火 墙 硬件 体系 结构 经 历 过 通用 CPU 架构 、ASIC 架构 和 网 络 处 理 器 架构 ,请 简 述 
这 几 种 构架 的 特点 。 

QO 通用 CPU 架构 最 常见 的 是 基于 Intel X86 架构 的 防火 墙 ,在 百 兆 防火 墙 中 Intel X86 
架构 的 硬件 以 其 高 灵活 性 和 扩展 性 一 直 受 到 防火 墙 厂商 的 青睐 。 由 于 采用 了 PCI 总 线 接 
口 ,Intel X86 架构 的 硬件 虽然 理论 上 能 达到 2Gbps 的 吞吐 量 甚 至 更 高 ,但 是 在 实际 应 用 中 ， 
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尤其 是 在 小 包 情 况 下 , 远 远 达 不 到 标 称 性 能 ,通用 CPU 的 处 理 能 力也 很 有 限 。 

@ ASIC( 专 用 集成 电路 ) 技 术 是 国外 高 端 网 络 设备 几 年 前 广泛 采用 的 技术 。 由 于 采用 
了 硬件 转发 模式 ,多 总 线 技术 、 数 据 层面 与 控制 层面 分 离 等 技术 ,ASIC 架构 防火 墙 解决 了 
带宽 容量 和 性 能 不 足 的 问题 ,稳定 性 也 得 到 了 很 好 的 保证 。ASIC 技术 的 性 能 优势 主要 体 
现在 网 络 层 转发 上 ,而 对 于 需要 强大 计算 能 力 的 应 用 层 数据 的 处 理 则 不 占 优势 ,而 且 面 对 频 
繁 变异 的 应 用 安全 问题 ,其 灵活 性 和 扩展 性 也 难以 满足 要 求 。 

@ 由 于 网 络 处 理 器 所 使 用 的 微 码 编写 有 一 定 技术 难度 ,难以 实现 产品 的 最 优 性 能 , 因 
此 网 络 处 理 器 架构 的 防火 墙 产 品 难以 占有 大 量 的 市 场 份 额 。 

(2) 简 述 基于 主机 的 和 人 侵 检测 系统 及 特点 。 

基于 主机 的 人 侵 检 测 系统 将 检测 模块 驻 留 在 被 保护 系统 上 ,通过 提取 被 保护 系统 的 运 
行 数据 并 进行 人 侵 分 析 来 实现 人 侵 检 测 的 功能 。 目 前 ,基于 主机 的 入侵 检测 系统 很 多 是 基 
于 主机 日 志 分 析 。 通 过 分 析 主 机 日 志 来 发 现 人 侵 行为 。 基 于 主机 的 人 侵 检 测 系统 具有 检测 
效率 高 ,分 析 代 价 小 ,分 析 速 度 快 的 特点 ,能 够 迅速 并 准确 地 定位 和 人 侵 者 ,并 可 以 结合 操作 系 
统 和 应 用 程序 的 行为 特征 对 入 侵 进 行进 一 步 分 析 。 

基于 主机 的 人 侵 检 测 系统 存在 的 问题 是 : 首先 它 在 一 定 程度 上 依赖 于 系统 的 可 靠 性 ， 
它 要 求 系统 本 身 应 该 具备 基本 的 安全 功能 并 具有 合理 的 设置 ,然后 才能 提取 入 侵 信 息 ; 有 
时 即使 进行 了 正确 的 设置 ,对 操作 系统 熟悉 的 攻击 者 仍然 有 可 能 在 入 侵 行 为 完成 后 及 时 地 
将 系统 日 志 抹 去 ,从 而 不 被 发 觉 ; 并 且 主 机 的 日 志 能 够 提供 的 信息 有 限 , 有 的 入 侵 手 段 和 途 
径 不 会 在 日 志 中 有 了 所 反映 ,日 志 系统 对 有 的 入 侵 行为 不 能 做 出 正确 的 响应 。 

基于 主机 的 和 人 侵 检 测 系统 的 优点 包括 可 监视 特定 的 系统 活动 .适用 于 加 密 的 及 交换 的 
环境 \ 不 要 求 额外 的 硬件 设备 。 

(3) 基于 网 络 的 入侵 检测 系统 有 哪些 优点 和 缺点 ? 

基于 网 络 的 入侵 检测 系统 (NIDS) 通 过 网 络 监视 来 实现 数据 提取 。 其 优点 包括 可 检测 
低层 协议 的 攻击 、 攻 击 者 不 易 转 移 证 据 \ 不 需要 改变 服务 器 等 主机 的 配置 可 靠 性 好 与 操作 
系统 无 关 , 不 占用 被 检测 系统 的 资源 。 同 时 ,网 络 人 侵 检测 系统 也 存在 不 足 : 容易 受到 拒绝 
服务 攻击 ,不 适合 交换 式 网 络 ,监测 复杂 的 攻击 较 弱 、 不 适合 加 密 环境 。 

(4) TBAC 模型 由 工作 流 、 授 权 结构 体 . 受 托 人 集 .许可 集 4 部 分 组 成 ,请 简单 介绍 这 
4 部 分 。 

@ 任务 (Task) 是 工作 流程 中 的 一 个 逻辑 单元 ,是 一 个 可 区 分 的 动作 ,与 多 个 用 户 相关 ， 
也 可 能 包括 几 个 子 任务 。 授 权 结构 体 是 任务 在 计算 机 中 进行 控制 的 一 个 实例 。 任 务 中 的 子 
任务 对 应 于 授权 结构 体 中 的 授权 步 。 

@ 授权 结构 体 (Authorization Unit) 是 由 一 个 或 多 个 授权 步 组 成 的 结构 体 ,它们 在 逻辑 
上 是 联系 在 一 起 的 。 授 权 结构 体 分 为 一 般 授 权 结构 体 和 原子 授权 结构 体 。 一 般 授 权 结构 体 
内 的 授权 步 依次 执行 ,原子 授权 结构 体内 部 的 每 个 授权 步 紧 密 联系 ,其 中 任何 一 个 授权 步 失 
败 都 会 导致 整个 结构 体 的 失败 。 

@ 授权 步 (Authorization Step) 表 示 一 个 原始 授权 处 理 步 ,是 指 在 一 个 工作 流程 中 对 处 
理 对 象 的 一 次 处 理 过 程 。 授 权 步 是 访问 控制 所 能 控制 的 最 小 单元 ,由 受托 人 集 (Trustee- 
Set) 和 多 个 许可 集 (Permissions Set) 组 成 。 

@ 受托 人 集 是 可 被 授予 执行 授权 步 的 用 户 的 集合 ,许可 集 则 是 受托 集 的 成 员 被 授予 授 
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权 步 时 拥有 的 访问 许可 。 当 授权 步 初始 化 以 后 ,一 个 来 自 受托 人 集中 的 成 员 将 被 授予 授权 
步 , 称 这 个 受托 人 为 授权 步 的 执行 委托 者 ,该 受托 人 执行 授权 步 过 程 中 所 需 许 可 的 集合 称 为 
执行 者 许可 集 。 授 权 步 之 间或 授权 结构 体 之 间 的 相互 关系 称 为 依赖 (Dependency) ,依赖 反 
映 了 基于 任务 的 访问 控制 的 原则 。 授 权 步 的 状态 变化 一 般 自 我 管理 ,依据 执行 的 条 件 而 自 
动 变 迁 状 态 , 但 有 时 也 可 以 由 管理 员 进 行 调配 。 

(5) 黑客 攻击 有 哪些 典型 的 模式 ? 

Q@ 监听 。 这 种 攻击 是 指 监 听 计算 机 系统 或 网 络 信息 包 以 获取 信息 。 监 听 实 质 上 并 没 
有 进行 真正 的 破坏 性 攻击 或 和 侵 ,但 却 通常 是 攻击 前 的 准备 动作 ,黑客 利用 监听 来 获取 他 想 
攻击 对 象 的 信息 ,如 网 址 .用户 账号 和 用 户 密码 等 。 这 种 攻击 可 以 分 成 网 络 信息 包 监 听 和 计 
算 机 系统 监听 两 种 。 

@ 密码 破解 。 这 种 攻击 是 指使 用 程序 或 其 他 方法 来 破解 密码 。 破 解密 码 主要 有 两 个 
方式 : 猜 出 密码 或 是 使 用 遍历 法 一 个 一 个 尝试 所 有 可 能 试 出 密码 。 这 种 攻击 程序 相当 多 ， 
如 果 是 要 破解 系统 用 户 密码 的 程序 ,通常 需要 一 个 储存 着 用 户 账号 和 加 密 过 的 用 户 密码 的 
系统 文件 ,例如 UNIX 系统 的 Password 和 Windows NT 系统 的 SAM, 破 解 程序 就 利用 这 
个 系统 文件 来 猜 或 试 密码 。 

@ 漏洞 。 漏 洞 是 指 程序 在 设计 、 实 现 或 操作 上 的 错误 ,而 被 黑客 用 来 获得 信息 、 取 得 用 
户 权限 、 取 得 系统 管理 者 权限 或 破坏 系统 。 由 于 程序 或 软件 的 数量 太 多 ,所 以 这 种 数量 相当 
庞大 。 缓 冲 区 溢出 是 程序 在 实现 上 最 常 发 生 的 错误 ,也 是 最 多 漏洞 产生 的 原因 。 缓 冲 区 溢 
出 的 发 生 原 因 是 把 超过 缓冲 区 大 小 的 数据 放 到 缓冲 区 ,造成 多 出 来 的 数据 覆盖 到 其 他 变量 ， 
绝 大 多 数 的 状况 是 程序 发 生 错 误 而 结束 。 但 是 ,如 果 适 当地 放 入 数据 ,就 可 以 利用 缓冲 区 溢 
出 来 执行 自己 的 程序 。 

@ 扫描 。 这 种 攻击 是 指 扫 描 计算 机 系统 以 获取 信息 。 扫 描 和 监听 一 样 ,实质 上 并 没有 
进行 真正 的 破坏 性 攻击 或 人 侵 ,但 却 通常 是 攻击 前 的 准备 动作 ,黑客 利用 扫描 来 获取 他 想 攻 
击 对 象 的 信息 ,如 开放 哪些 服务 、 提 供 服务 的 程序 ,其 至 利用 已 发 现 的 漏洞 样本 作对 比 直接 
找 出 漏洞 。 

@ 恶意 程序 码 。 这 种 攻击 是 指 黑客 通过 外 部 设备 和 网 络 把 恶意 程序 码 安 装 到 系统 内 。 
它 通常 是 黑客 成 功 入侵 后 做 的 后 续 动 作 , 可 以 分 成 两 类 : 病毒 和 后 门 程序 。 病 毒 有 自我 复 
制 性 和 破坏 性 两 个 特性 ,这 种 攻击 就 是 把 病毒 安装 到 系统 内 ,利用 病毒 的 特性 破坏 系统 和 感 
染 其 他 系统 。 最 有 名 的 病毒 就 是 世界 上 第 一 位 因特网 黑客 所 写 的 蠕虫 病毒 , 它 的 攻击 行为 
其 实 很 简单 ,就 是 复制 ,复制 的 同时 做 到 感染 和 破坏 的 目的 。 后门 程序 攻击 通常 是 黑客 在 人 
侵 成 功 后 ,为 了 方便 下 次 入 侵 而 安装 的 程序 。 

@ 阻 断 服务 。 这 种 攻击 的 目的 并 不 是 要 入 侵 系统 或 是 取得 信息 ,而 是 阻 断 被 害 主机 的 
某 种 服务 ,使 得 正常 用 户 无 法 接受 网 络 主机 所 提供 的 服务 。 这 种 攻击 有 很 大 一 部 分 是 从 系 
统 漏 洞 这 个 攻击 类 型 中 独立 出 来 的 , 它 是 把 稀少 的 资源 用 尽 , 让 服务 无 法 继续 。 例 如 TCP 
同步 信号 洪 泛 攻 击 是 把 被 害 主机 的 等 待 队列 填 满 。 最 近 出 现 一 种 有 关 阻 断 服 务 攻击 的 新 攻 
击 模式 一 一 分 布 式 阻 断 服务 攻击 ,黑客 从 client 端 控制 handler, 而 每 个 handler 控制 许多 
agent, 因 此 黑客 可 以 同时 命令 多 个 agent 来 对 被 害 者 做 大 量 的 攻击 。 而 且 client 与 handler 
之 间 的 沟通 是 经 过 加 密 的 。 

@@ Social Engineering。 这 种 是 指 不 通过 计算 机 或 网 络 的 攻击 行为 。 例 如 黑客 自称 是 
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系统 管理 者 ,发 电子 邮件 或 打 电话 给 用 户 ,要 求 用 户 提供 密码 ,以 便 测试 程序 或 其 他 理由 。 
其 他 如 躲 在 用 户 背 后 偷 看 他 人 的 密码 也 属于 Social Engineering。 

(6) 木马 病毒 藏身 方法 有 哪些 ? 

@ 集成 到 程序 中 。 木 马 是 一 种 客户 端 /服务 器 程序 。 为 了 不 让 用 户 能 轻易 地 把 它 删 
除 ,常常 被 集成 到 程序 里 ,一 旦 用 户 激活 木马 程序 ,那么 木马 文件 和 某 一 应 用 程序 绑 定 在 一 
起 ,然后 上 传 到 服务 端 覆盖 原文 件 , 这 样 即使 木马 被 删除 了 ,只 要 运行 绑 定 了 木马 的 应 用 程 
序 , 木 马 又 会 被 安装 上 去 。 绑 定 到 某 一 应 用 程序 中 ,如 绑 定 到 系统 文件 ,那么 每 一 次 
Windows 系统 启动 均 会 启动 木马 。 

@ 隐藏 在 配置 文件 中 。 木 马 利 用 配置 文件 的 特殊 作用 ,在 Autoexec. bat 和 Config. sys 
中 加 载 木 马 程序 ,然后 在 计算 机 中 发 作 、 运 行 , 偷 窒 监 视 计算 机 。 

@ 潜伏 在 Win. ini 中 。 木 马 要 想 达 到 控制 或 者 监视 计算 机 的 目的 ,必须 要 运行 ,一 个 
既 安 全 又 能 在 系统 启动 时 自动 运行 的 地 方 是 潜伏 在 Win. ini 文件 中 。Win. ini 文件 中 有 启 
动 命令 load 王 和 run 一 ,在 一 般 情 况 下 “一 ?后面 是 空白 的 ,如 果 后 面 跟 有 程序 ,如 run 一 
c: \windows\file. exe; load 一 c: \windows\file. exe, 这 时 file. exe 很 可 能 是 木马 。 

@ 伪装 在 普通 文件 中 。 这 个 方法 是 把 可 执行 文件 伪装 成 图 片 或 文本 ,在 程序 中 把 图 标 
改 成 Windows 的 默认 图 片 图 标 ,再 把 文件 名 改 为 * .jpg. exe, 由 于 Windows 系统 默认 设置 
是 “不 显示 已 知 的 文件 后 缀 名 ”, 文 件 将 会 显示 为 *. jpg, 不 注意 的 人 一 点 这 个 图 标 就 中 木 
马 了 。 

@ 内 置 到 注册 表 中 。 由 于 注册 表 比 较 复杂 , 它 是 木马 隐藏 的 地 方 。 

@ 在 System. ini 中 。Windows 安装 目录 下 的 System. ini 是 木马 隐蔽 的 地 方 。 在 该 文 
件 的 [bootj 字 段 中 ,如 果 shell 王 Explorer. exe file. exe, 这 里 的 file. exe 就 是 木马 服务 端 程 
序 。 另 外 ,在 System. ini 中 的 [386Enh] 字 段 ,要 注意 检查 在 此 段 内 的 “driver 王 路 径 \\ 程 序 
名 ”, 这 里 也 有 可 能 被 木马 所 利用 。 再 有 ,在 System. ini 中 的 [mic]、[Ldrivers]、[ drivers32] 
这 三 个 字段 ,这 些 段 也 是 起 到 加 载 驱 动 程序 的 作用 .但 也 是 增添 木马 程序 的 好 场所 。 

@ 隐形 于 启动 组 中 。 启 动 组 也 是 木马 可 以 藏身 的 好 地 方 , 也 是 自动 加 载运 行 的 好 场 
所 。 启 动 组 对 应 的 文件 夹 为 C: \windows\startmenu\programs\startup, 在 注册 表 中 的 位 
置 是 HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ 
ShellFold-ers Startup="C: \windows\startmenu\programs\startup"。 

@ 隐蔽 在 Winstart. bat 中 。Winstart. bat 也 是 一 个 能 自动 被 Windows 加 载运 行 的 文 
件 , 它 多 数 情况 下 为 应 用 程序 及 Windows 自动 生成 ,在 执行 了 Win. com 并 加 载 了 多 数 驱 动 
程序 之 后 开始 执行 。 由 于 Autoexec. bat 的 功能 可 以 由 Winstart. bat 代替 完成 ,因此 木马 也 
可 以 像 在 Autoexec. bat 中 那样 被 加 载运 行 。 

@ 绑 定 在 启动 文件 中 。 即 应 用 程序 的 启动 配置 文件 ,控制 端 利 用 这 些 文件 能 启动 程序 
的 特点 ,将 制作 好 的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 端 覆盖 这 同名 文件 ,这样 就 可 
以 达到 启动 木马 的 目的 了 。 

外 设置 在 超 链接 中 。 木 马 的 主人 在 网 页 上 放置 恶意 代码 ,引诱 用 户 点 击 , 用 户 点 击 的 
结果 是 中 木马 病毒 。 

(7) 入 侵 检测 的 步骤 是 怎样 的 ? 

入 侵 检测 为 网 络 安全 提供 实时 检测 及 攻击 行为 检测 ,并 采取 相应 的 防护 手段 。 
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第 一 步 ”信息 收集 。 

入侵 检测 的 第 一 步 是 信息 收集 ,内 容 包 括 系统 网络、 数据 及 用 户 活动 的 状态 和 行为 。 
而 且 需 要 在 计算 机 网 络 系统 中 的 若干 不 同 关 键 点 (不 同 网 段 和 不 同 主机 ) 收 集 信息 ,这 除了 
尽 可 能 扩大 检测 范围 的 因素 外 ,还 有 一 个 重要 的 因素 就 是 从 一 个 源 来 的 信息 有 可 能 看 不 出 
疑点 ,但 从 几 个 源 来 的 信息 的 不 一 致 性 却 是 可 疑 行为 或 人 侵 的 最 好 标识 。 

入 侵 检测 利用 的 信息 一 般 来 自 以 下 4 个 方面 : 系统 和 网 络 日 志文 件 、 目 录 和 文件 中 不 
期 望 的 改变 ,程序 执行 中 的 不 期 望 行为 .物理 形式 的 入 侵 信息 。 

第 二 步 ” 信 号 分 析 。 

根据 收集 到 的 信息 进行 分 析 。 常 用 的 分 析 方法 有 模式 匹配 、 统 计 分 析 、 完 整 性 分 析 。 模 
式 匹配 是 将 收集 到 的 信息 与 已 知 的 网 络 人 侵 和 系统 误 用 模式 数据 库 进 行 比较 ,从 而 发 现 违 
背 安 全 策略 的 行为 。 对 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ,一 
般 通 过 三 种 技术 手段 进行 分 析 : 模式 匹配 ,统计 分 析 和 完整 性 分 析 。 

第 5 章 

1. 选择 题 

(1) A .BC (2) A\C.D 

2. 简 答 题 

(1) 简单 介绍 标准 化 的 管理 原理 。 

系统 效应 原理 。 一 个 企业 要 实施 标准 化 ,需要 有 多 个 标准 同时 配合 ,这 是 一 个 系统 
工程 。 实 践 证 明 : 标准 系统 的 效应 不 是 来 自 于 某 个 标准 本 身 , 它 是 多 个 标准 互相 协同 的 结 
果 , 并 且 这 个 效应 超过 标准 个 体 效 应 的 总 和 ,这 就 是 系统 效应 原理 。 因 此 ,企业 的 标准 化 工 
作 要 想 收 到 实效 ,必须 建立 标准 系统 。 多 个 标准 共同 实施 时 ,关键 是 标准 之 间 的 互相 关联 、 
互相 协调 .互相 适应 。 把 握 每 一 个 标准 出 发 点 ,和 它 在 系统 中 的 位 置 、 所 起 的 作用 以 及 它 与 
相关 标准 之 间 的 关系 等 。 这 样 才能 制定 出 切合 实际 的 标准 ,这 样 的 标准 系统 才能 产生 较 好 
的 系统 效应 。 

四 结构 优化 原理 。 一 个 标准 系统 是 由 多 个 标准 组 成 的 ,这 些 标准 在 系统 中 的 位 置 不 是 
杂乱 无 章 的 ,每 个 标准 都 有 自己 的 位 置 , 且 彼此 之 间 层 次 分 明 , 时 间 排 列 有 序 。 系 统 效 应 的 
大 小 ,很 大 程度 上 取决 于 系统 是 否 具有 良好 的 组 织 结构 。 实 践 证 明 : 标准 系统 的 结构 不 同 ， 
其 效应 也 会 不 同 , 只 有 经 过 优化 的 系统 结构 才能 产生 系统 效应 ; 系统 结构 的 优化 ,应 按照 结 
构 与 功能 的 关系 ,调整 和 处 理 标准 系统 的 阶层 秩序 、 时 间 序 列 、 数 量 比例 以 及 它们 的 合理 组 
合 。 这 就 是 结构 优化 原理 的 含义 。 根 据 这 一 原理 ,在 对 标准 系统 进行 实施 的 过 程 中 ,应 不 断 
协调 彼此 的 关系 ,及 时 发 现 结构 的 不 合理 ,并 加 以 调整 。 

@@ 有 序 发 展 原理 。 标 准 系统 的 结构 经 过 优化 之 后 ,系统 内 部 各 要 素 之 间 彼 此 协调 , 系 
统 与 其 外 部 环境 之 间 也 保持 适应 的 状态 。 把 这 种 状态 叫做 系统 的 稳定 状态 ,系统 只 有 处 于 
稳定 状态 ,才能 正常 地 发 挥 其 功能 ,产生 系统 效应 。 当 外 部 环境 发 生变 化 时 ,系统 不 断 调整 ， 
逐步 适应 环境 的 变化 ,稳定 向 前 发 展 。 如 果 在 系统 形成 和 发 展 过 程 中 ,对 系统 内 部 、 外 部 因 
素 之 间 的 关系 处 理 不 当 , 便 可 能 降低 系统 结构 的 有 序 度 ,使 系统 向 无 序 方向 转化 。 此 外 , 即 
使 原 有 的 系统 结构 状态 较 好 ,也 会 由 于 外 部 环境 的 变化 ,使 系统 中 的 个 别 要 素 首 先 发 生 变 
化 ,从 而 使 要 素 之 间 的 联系 变 得 不 稳定 ,由 此 也 会 向 无 序 方向 演化 。 
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@ 反馈 控制 原理 。 标 准 系统 的 存在 与 发 展 , 不 仅 依赖 于 其 内 部 要 素 的 相互 作用 ,同时 
还 依赖 于 它 和 周围 环境 的 相互 作用 , 恰 是 这 两 种 作用 构成 了 标准 系统 发 展 的 动力 。 标 准 系 
统 同 环境 的 联系 表现 在 它 和 环境 之 间 的 物质 和 信息 的 不 断交 换 过 程 中 ,标准 系统 从 环境 得 
到 各 种 信息 之 后 , 据 此 调整 自己 的 结构 ,增加 必要 的 标准 ,使 标准 系统 同 环境 相 适 应 。 实 践 
证 明 : 标准 系统 演化 、 发 展 以 及 保持 结构 稳定 性 和 环境 适应 性 的 内 在 机 制 是 反馈 控制 。 这 
就 是 反馈 控制 原理 ,因此 ,标准 系统 在 建立 和 发 展 过 程 中 ,只 有 通过 经 常 的 反馈 ,不 断 地 调节 
同 外 部 环境 的 关系 ,提高 系统 的 适应 性 和 稳定 性 ,才能 有 效 地 发 挥 出 系统 效应 。 标 准 系统 同 
外 部 环境 的 适应 性 不 可 能 自发 实现 ,需要 控制 系统 (管理 机 构 ) 实 行 强 有 力 的 反馈 控制 。 

(2) 简单 介绍 SSE-CMM 的 基本 思想 。 

SSE-CMM 的 基本 思想 是 建立 和 完善 一 套 成 熟 的 、 可 度量 的 安全 工程 过 程 。 该 模型 定 
义 了 一 个 安全 工程 过 程 应 有 的 特征 ,这 些 特 征 是 完善 安全 工程 的 根本 保证 。 这 个 安全 工程 
对 于 任何 工程 活动 均 是 清晰 定义 的 ,可 管理 的 、 可 测量 的 、 可 控制 的 ,并 且 是 有 效 的 。 
SSE-CMM 模型 及 其 评定 方法 汇集 了 业界 范围 内 常见 的 实施 方法 ,提供 了 一 套 包括 政府 及 
产业 的 标准 度量 体系 ,确保 了 在 处 理 硬件 .软件 .系统 和 组 织 安全 问题 的 工程 实施 活动 后 ,能 
够 得 到 一 个 完整 意义 上 的 安全 结果 。 在 以 下 安全 活动 过 程 中 SSE-CMM 已 成 为 公认 的 标 
准 规范 。 这 些 活动 包括 : 整个 工程 的 生命 周期 过 程 ,包括 开发 .运行 .维护 和 结束 ; 整个 组 
织 过 程 ,包括 各 种 管理 ,组 织 和 工程 活动 ; 与 其 他 工程 规范 和 标准 的 交流 ,包括 其 他 系统 、 软 
件 、 硬 件 . 人 的 因素 和 检测 工程 规范 等 ; 与 其 他 组 织 的 交流 活动 ,包括 信息 获取 、 系 统管 理 、 
认证 ,授权 和 评价 等 活动 。 此 外 ,SSE-CMM 还 用 于 改进 安全 工程 实施 的 现状 ,达到 提高 安 
全 系统 ,安全 产品 和 安全 工程 服务 的 质量 和 可 用 性 并 降低 成 本 的 目的 。 

3. 论述 题 

等 级 保护 技术 包括 哪些 方面 ? 

@ 物理 安全 。 

物理 安全 主要 涉及 的 方面 包括 环境 安全 (防火 、 防 水 、 防 雷击 等 ) 设 备 和 防盗 窃 防 破坏 等 
方面 。 具 体 包括 物理 位 置 的 选择 ,物理 访问 控制 . 防 窃 和 防 破坏 、 防 雷击 防火、 防水 和 防潮 、 
防 静 电 , 温 湿度 控制 .电力 供应 电磁 防护 10 个 控制 点 。 

一 级 物理 安全 要 求 : 主要 要 求 对 物理 环境 进行 基本 的 防护 ,对 出 入 进行 基本 控制 ,环境 
安全 能 够 对 自然 威胁 进行 基本 的 防护 ,电力 则 要 求 提供 供电 电压 的 正常 。 

二 级 物理 安全 要 求 : 对 物理 安全 进行 了 进一步 的 防护 ,不 仅 对 出 入 进行 基本 的 控制 ,对 
进入 后 的 活动 也 要 进行 控制 。 物 理 环 境 方面 , 则 加 强 了 各 方面 的 防护 ,采取 更 细 的 要 求 来 多 
方面 进行 防护 。 

三 级 物理 安全 要 求 : 对 出 入 加 强 了 控制 ,做 到 人 、 电 子 设备 共同 监控 。 物 理 环境 方面 ， 
进一步 采取 各 种 控制 措施 来 进行 防护 。 如 防火 要 求 ,不 仅 要 求 自动 消防 系统 ,而 且 要 求 区 域 
隔离 防火 ,建筑 材料 防火 等 方面 ,将 防火 的 范围 增 大 ,从 而 使 火灾 发 生 的 几率 和 损失 降低 。 

四 级 物理 安全 要 求 : 对 机 房 出 入 的 要 求 进一步 增强 ,要 求 多 道 电子 设备 监控 。 物 理 环 
境 方面 ,要求 采用 一 定 的 防护 设备 进行 防护 ,如 静电 消除 装置 等 。 

@ 网 络 安全 。 

网 络 安全 主要 关注 的 方面 包括 网 络 结构 、 网 络 边界 以 及 网 络 设备 自身 安全 等 。 具 体 的 
包括 结构 安全 访问 控制 ,安全 审计 、 边 界 完整 性 检查 、 入 侵 防 范 、 恶 意 代 码 防 范 和 网 络 设备 
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防护 7 个 控制 点 。 

一 级 网 络 安全 要 求 : 主要 提供 网 络 安全 运行 的 基本 保障 ,包括 网 络 结构 能 够 基本 满足 
业务 运行 需要 ,网 络 边界 处 对 进出 的 数据 包头 进行 基本 过 滤 等 访问 控制 措施 。 

二 级 网 络 安全 要 求 : 不 仅 要 满足 网 络 安全 运行 的 基本 保障 ,同时 还 要 考虑 网 络 处 理 能 
力 要 满足 业务 极限 时 的 需要 。 对 网 络 边界 的 访问 控制 粒度 进一步 增强 。 同 时 ,加 强 了 网 络 
边界 的 防护 ,增加 了 安全 和 审计、 边界 完整 性 检查 、 入 侵 防范 等 控制 点 。 对 网 络 设备 的 防护 不 
仅 局 限于 简单 的 身份 鉴别 ,同时 对 标识 和 鉴别 信息 都 有 了 相应 的 要 求 。 

三 级 网 络 安全 要 求 : 对 网 络 处 理 能 力 增加 了 “优先 级 "考虑 ,保证 重要 主机 能 够 在 网 络 
拥堵 时 仍 能 够 正常 运行 ; 网 络 边界 的 访问 控制 扩展 到 应 用 层 ,网 络 边界 的 其 他 防护 措施 进 
一 步 增强 ,不 仅 能够 被 动 地 “* 防 ”, 还 应 能 够 主动 发 出 一 些 动作 ,如 报警 . 阻 断 等 。 网 络 设备 的 
防护 手段 要 求 两 种 身份 鉴别 技术 综合 使 用 。 

四 级 网 络 安全 要 求 : 对 网 络 边 界 的 访问 控制 做 出 了 更 为 严格 的 要 求 ,禁止 远程 拨号 访 
问 , 不 允许 数据 带 通用 协议 通过 ; 边界 的 其 他 防护 措施 也 加 强 了 要 求 。 网 络 安全 审计 着 眼 
于 全 局 ,做 到 集中 审计 分 析 , 以 便 得 到 更 多 的 综合 信息 。 网 络 设备 的 防护 ,在 身份 鉴别 手段 
上 除 要 求 两 种 技术 外 ,其 中 一 种 鉴别 技术 必须 是 不 可 伪造 的 ,进一步 加 强 了 对 网 络 设备 的 
防护 。 

@ 主机 系统 安全 。 

主机 系统 安全 是 包括 服务 器 ,终端 /工作 站 等 在 内 的 计算 机 设备 在 操作 系统 及 数据 库 系 
统 层面 的 安全 。 终 端 /工作 站 是 带 外 设 的 台式 机 与 笔记 本 计算 机 ,服务 器 则 包括 应 用 程序 、 
网 络 、Web, 文 件 与 通信 等 服务 器 。 主 机 系统 是 构成 信息 系统 的 主要 部 分 ,其 上 承载 着 各 种 
应 用 。 因 此 ,主机 系统 安全 是 保护 信息 系统 安全 的 中 坚 力量 。 主 机 系统 安全 涉及 的 控制 点 
包括 身份 鉴别 ,安全 标记 访问 控制 .可 信和 路 径 、 安 全 审计 、 剩 余 信息 保护 、 入 侵 防范 、 恶 意 代 
码 防范 和 资源 控制 9 个 控制 点 。 

一 级 主机 系统 安全 要 求 : 对 主机 进行 基本 的 防护 ,要 求 主机 做 到 简单 的 身份 鉴别 , 粗 粒 
度 的 访问 控制 以 及 重要 主机 能 够 进行 恶意 代码 防范 。 

二 级 主机 系统 安全 要 求 : 在 控制 点 上 增加 了 安全 审计 和 资源 控制 等 。 同 时 ,对 身份 鉴 
别 和 访问 控制 都 进一步 加 强 ,鉴别 的 标识 、 信 息 等 都 提出 了 具体 的 要 求 。 访 问 控制 的 粒度 进 
行 了 细 化 等 ,恶意 代码 增加 了 统一 管理 等 。 

三 级 主机 系统 安全 要 求 在 控制 点 上 增加 了 剩余 信息 保护 , 即 访问 控制 增加 了 设置 敏 
感 标记 等 ,力度 变 强 。 同 样 ,身份 鉴别 的 力度 进一步 增强 ,要 求 两 种 以 上 鉴别 技术 同时 使 用 。 
安全 审计 已 不 满足 于 对 安全 事件 的 记录 ,而 要 进行 分 析 、 生 成 报表 。 对 恶意 代码 的 防范 综合 
考虑 网 络 上 的 防范 措施 ,做 到 二 者 相互 补充 。 对 资源 控制 增加 了 对 服务 器 的 监视 和 最 小 服 
务 水 平 的 监测 和 报警 等 。 

四 级 主机 系统 安全 要 求 : 在 控制 点 上 增加 了 安全 标记 和 可 信 路 径 ,其 他 控制 点 在 强度 
上 也 分 别 增强 ,如 身份 鉴别 要 求 使 用 不 可 伪造 的 鉴别 技术 ,访问 控制 要 求 部 分 按照 强制 访问 
控制 的 力度 实现 ,安全 审计 能 够 做 到 统一 集中 审计 等 。 

@ 应 用 安全 。 

通过 网 络 .主机 系统 的 安全 防护 ,最 终 应 用 安全 成 为 信息 系统 整体 防御 的 最 后 一 道 防 
线 。 在 应 用 层面 运行 着 信息 系统 基于 网 络 的 应 用 以 及 特定 业务 应 用 。 基 于 网 络 的 应 用 是 形 
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成 其 他 应 用 的 基础 ,包括 消息 发 送 、Web 浏览 等 ,可 以 说 是 基本 的 应 用 。 业 务 应 用 采纳 基本 
应 用 的 功能 以 满足 特定 业务 的 要 求 ,如 电子 商务 .电子 政务 等 。 由 于 各 种 基本 应 用 最 终 是 为 
业务 应 用 服务 的 ,因此 对 应 用 系统 的 安全 保护 最 终 就 是 如 何 保护 系统 的 各 种 业务 应 用 程序 
安全 运行 。 应 用 安全 主要 涉及 的 安全 控制 点 包括 身份 鉴别 .安全 标记 、 访 问 控制 .可 信 路 径 、 
安全 审计 、 剩 余 信息 保护 ` 通 信 完 整 性 ` 通 信保 密 性 、 抗 抵赖 .软件 容错 和 资源 控制 11 个 控 
制 点 。 

一 级 应 用 安全 要 求 : 对 应 用 进行 基本 的 防护 ,要 求 做 到 简单 的 身份 鉴别 , 粗 粒 度 的 访问 
控制 以 及 数据 有 效 性 检验 等 基本 防护 。 

二 级 应 用 安全 要 求 : 在 控制 点 上 增加 了 安全 审计 、 通 信保 密 性 和 资源 控制 等 。 同 时 ,对 
身份 鉴别 和 访问 控制 都 进一步 加 强 , 鉴 别 的 标识 ,信息 等 都 提出 了 具体 的 要 求 。 访 问 控制 的 
粒度 进行 了 细 化 ,对 通信 过 程 的 完整 性 保护 提出 了 特定 的 校 验 码 技术 。 应 用 软件 自身 的 安 
全 要 求 进一步 增强 ,软件 容错 能 力 增强 。 

三 级 应 用 安全 要 求 : 在 控制 点 上 增加 了 剩余 信息 保护 和 抗 抵赖 等 。 同 时 ,身份 鉴别 的 
力度 进一步 增强 ,要 求 组 合 鉴别 技术 ,访问 控制 增加 了 敏感 标记 功能 ,安全 审计 已 不 满足 于 
对 安全 事件 的 记录 ,而 要 进行 分 析 等 。 对 通信 过 程 的 完整 性 保护 提出 了 特定 的 密码 技术 。 
应 用 软件 自身 的 安全 要 求 进 一 步 增强 ,软件 容错 能 力 增强 ,增加 了 自动 保护 功能 。 

四 级 应 用 安全 要 求 : 在 控制 点 上 增加 了 安全 标记 和 可 信 路 径 等 。 部 分 控制 点 在 强度 上 
进一步 增强 ,如 身份 鉴别 要 求 使 用 不 可 伪造 的 鉴别 技术 ,安全 审计 能 够 做 到 统一 安全 策略 提 
供 集中 审计 接口 等 ,软件 应 具有 自动 恢复 的 能 力 等 。 

@ 数据 安全 及 备份 恢复 。 

信息 系统 处 理 的 各 种 数据 (用 户 数据 ,系统 数据 和 业务 数据 等 ) 在 维持 系统 正常 运行 上 
起 着 至 关 重 要 的 作用 。 一 旦 数据 章 到 破坏 (泄露 ,修改 、 毁 坏 ) ,都 会 在 不 同 程度 上 造成 影响 ， 
从 而 危害 到 系统 的 正常 运行 。 由 于 信息 系统 的 各 个 层面 (网 络 、 主 机 、 应 用 等 ) 都 对 各 类 数据 
进行 传输 ,存储 和 处 理 等 ,因此 对 数据 的 保护 需要 物理 环境 、 网 络 、 数 据 库 和 操作 系统 、 应 用 
程序 等 提供 支持 。 各 个 “关口 "把 好 了 ,数据 本 身 再 具有 一 些 防御 和 修复 手段 ,必然 将 对 数据 
造成 的 损害 降 至 最 小 。 另 外 ,数据 备份 也 是 防止 数据 被 破坏 后 无 法 恢复 的 重要 手段 ,而 硬件 
备份 等 更 是 保证 系统 可 用 的 重要 内 容 , 在 高 级 别 的 信息 系统 中 采用 异地 适时 备份 会 有 效 地 
防止 灾难 发 生 时 可 能 造成 的 系统 危害 。 保 证 数据 安全 和 备份 恢复 主要 从 数据 完整 性 、 数 据 
保密 性 、 备 份 和 恢复 三 个 控制 点 考虑 。 

一 级 数据 安全 及 备份 恢复 要 求 : 对 用 户 数据 在 传输 过 程 中 提出 要 求 ,能 够 检测 出 数据 
完整 性 受到 破坏 ,同时 能 够 对 重要 信息 进行 备份 。 

二 级 数据 及 备份 恢复 安全 要 求 : 对 数据 完整 性 的 要 求 增强 ,范围 扩大 ,要 求 鉴别 信息 和 
重要 业务 数据 在 传输 过 程 中 都 要 保证 其 完整 性 。 对 数据 保密 性 要 求实 现 鉴别 信息 存储 保密 
性 ,数据 备份 增强 ,要 求 一 定 的 硬件 元 余 。 

三 级 数据 及 备份 恢复 安全 要 求 : 对 数据 完整 性 的 要 求 增强 ,范围 扩大 ,增加 了 系统 管理 
数据 的 传输 完整 性 ,不 仅 能 够 检测 出 数据 受到 破坏 ,并 能 进行 恢复 。 对 数据 保密 性 要 求 范围 
扩大 到 实现 系统 管理 数据 ,鉴别 信息 和 重要 业务 数据 的 传输 和 存储 的 保密 性 。 数 据 的 备份 
不 仅 要 求 本 地 完全 数据 备份 ,还 要 求 异 地 备份 和 元 余 网 络 拓扑 。 

四 级 数据 及 备份 恢复 安全 要 求 : 为 进一步 保证 数据 的 完整 性 和 保密 性 ,提出 使 用 专 有 
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的 安全 协议 的 要 求 。 同 时 ,备份 方式 增加 了 建立 异地 适时 灾难 备份 中 心 ,在 灾难 发 生 后 系统 
能 够 自动 切换 和 恢复 。 


第 6 章 


1. 名 词 解 释 

(1) 信息 安全 管理 : 指导 和 控制 组 织 的 关于 信息 安全 风险 的 相互 协调 活动 ,关于 信息 
安全 风险 的 指导 和 控制 活动 。 

(2) 安全 策略 : 各 种 论述 、 规 则 和 准则 的 集合 , 供 运 营 商 解释 怎样 使 用 网 络 资源 ,怎样 
对 网 络 和 业务 进行 保护 。 

(3) 安全 审计 : 是 指 根据 一 定 的 安全 策略 ,通过 记录 和 分 析 历 史 操作 事件 及 数据 ,发 现 
能 够 改进 系统 性 能 和 系统 安全 的 地 方 。 

2. 判断 题 

(LY CD (2) (xX) 

3. 填空 题 

(1) 安全 服务 ”安全 机 制 ” 安 全 管理 

(2) 人 员 与 管理 ”技术 与 产品 ”流程 与 体系 

(3) 安全 策略 管理 ”安全 预警 管理 ”安全 事件 管理 ”安全 对 象 风险 管理 

4. 选择 题 

(DBCSD: (2) A:B. (3) ABC 《的 BAD (5) A,BSC DE 

5. 简 答题 

(1) 建立 信息 安全 管理 体系 一 般 要 经 过 哪些 步骤 ? 

@ 信息 安全 管理 体系 策划 与 准备 。 策 划 与 准备 阶段 主要 是 做 好 建立 信息 安全 管理 体 
系 的 各 种 前 期 工作 。 内 容 包 括 教育 培训 、 拟 定 计 划 安全 管理 发 展 情况 调研 以 及 人 力 资 源 的 
配置 与 管理 。 

@ 确定 信息 安全 管理 体系 适用 的 范围 。 信 息 安全 管理 体系 的 范围 就 是 需要 重点 进行 
管理 的 安全 领域 。 组 织 需 要 根据 自己 的 实际 情况 ,可 以 在 整个 组 织 范 围 内 ,也 可 以 在 个 别 部 
门 或 领域 内 实施 。 在 本 阶段 ,应 将 组 织 划 分 成 不 同 的 信息 安全 控制 领域 ,这 样 做 易于 组 织 对 
有 不 同 需 求 的 领域 进行 适当 的 信息 安全 管理 。 在 定义 适用 范围 时 ,应 重点 考虑 组 织 的 适用 
环境 、 适 用 人 员 、 现 有 IT 技术 、 现 有 信息 资产 等 。 

@ 现状 调查 与 风险 评估 。 依 据 有 关 信 息 安全 技术 与 管理 标准 ,对 信息 系统 及 由 其 处 
理 \ 传 输 和 存储 的 信息 的 机 密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 调研 和 评价 ,评估 信息 资 
产 面临 的 威胁 以 及 导致 安全 事件 发 生 的 可 能 性 ,并 结合 安全 事件 所 涉及 的 信息 资产 价值 来 
判断 安全 事件 一 旦 发 生 对 组 织造 成 的 影响 。 

@ 建立 信息 安全 管理 框架 。 建 立信 息 安 全 管理 体系 要 规划 和 建立 一 个 合理 的 信息 安 
全 管理 框架 ,要 从 整体 和 全 局 的 视角 ,从 信息 系统 的 所 有 层面 进行 整体 安全 建设 ,从 信息 系 
统 本 身 出 发 ,根据 业务 性 质 、 组 织 特征 、 信 息 资 产 状况 和 技术 条 件 建立 信息 资产 清单 ,进行 风 
险 分 析 ,需求 分 析 和 选择 安全 控制 ,准备 适用 性 声明 等 步骤 ,从 而 建立 安全 体系 并 提出 安全 
解决 方案 。 

@@ 信息 安全 管理 体系 文件 编写 。 建 立 并 保持 一 个 文件 化 的 信息 安全 管理 体系 是 
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ISOVIEC 27001: 2005 标准 的 总 体 要 求 ,编写 信息 安全 管理 体系 文件 是 建立 信息 安全 管理 
体系 的 基础 工作 ,也 是 一 个 组 织 实现 风险 控制 .评价 和 改进 信息 安全 管理 体系 、 实 现 持续 改 
进 不 可 缺少 的 依据 。 在 信息 安全 管理 体系 建立 的 文件 中 应 该 包含 安全 方针 文档 、 适 用 范围 
文档 、 风 险 评估 文档 、 实 施 与 控制 文档 、 适 用 性 声明 文档 。 

@ 信息 安全 管理 体系 的 运行 与 改进 。 信 息 安全 管理 体系 文件 编制 完成 以 后 ,组 织 应 按 
照 文件 的 控制 要 求 进行 审核 与 批准 并 发 布 实施 。 至 此 ,信息 安全 管理 体系 将 进入 运行 阶段 。 
在 此 期 间 , 组 织 应 加 强 运作 力度 ,充分 发 挥 体系 本 身 的 各 项 功能 ,及 时 发 现 体系 策划 中 存在 
的 问题 , 找 出 问题 根源 ,采取 纠正 措施 ,并 按照 更 改 控制 程序 要 求 对 体系 予以 更 改 , 以 达到 进 
一 步 完 善信 息 安全 管理 体系 的 目的 。 

@ 信息 安全 管理 体系 审核 。 体 系 审核 是 为 获得 审核 证 据 , 对 体系 进行 客观 的 评价 ,以 
确定 满足 审核 准则 的 程度 所 进行 的 系统 的 、 独 立 的 并 形成 文件 的 检查 过 程 。 体 系 审核 包括 
内 部 审核 和 外 部 审核 (第 三 方 审 核 )。 内 部 审核 一 般 以 组 织 名 义 进行 ,可 作为 组 织 自我 合格 
检查 的 基础 ; 外 部 审核 由 外 部 独立 的 组 织 进行 ,可 以 提供 符合 要 求 (如 ISO/IEC 27001) 的 
认证 或 注册 。 信 息 安 全 管理 体系 的 建立 是 一 个 目标 释 加 的 过 程 ,是 在 不 断 发 展 变化 的 技术 
环境 中 进行 的 ,是 一 个 动态 的 ,闭环 的 风险 管理 过 程 。 要 想 获 得 有 效 的 成 果 ,需要 从 评估 、 防 
护 ,监管 .响应 到 恢复 ,这 些 都 需要 从 上 到 下 地 参与 和 重视 ,否则 只 能 是 流 于 形式 与 过 程 , 起 
不 到 真正 有 效 的 安全 控制 目的 和 作用 。 

(2) 进行 信息 安全 风险 评估 的 方法 有 哪些 ? 

组 织 需要 选择 一 个 适合 其 安全 要 求 的 风险 评估 和 管理 方案 ,然后 进行 合乎 规范 的 评估 ， 
识别 目前 面临 的 风险 及 风险 等 级 。 风 险 评估 的 对 象 是 组 织 的 信息 资产 ,评估 考虑 的 因素 包 
括 资产 所 受 的 威胁 、 薄 弱点 及 威胁 发 生 后 对 组 织 的 影响 。 无 论 采 用 何 种 风险 评估 工具 方法 ， 
其 最 终 评估 结果 应 是 一 致 的 。 信 息 安全 风险 评估 的 复杂 程度 将 取决 于 风险 的 复杂 程度 和 受 
保护 资产 的 敏感 程度 ,所 采用 的 评估 措施 应 该 与 组 织 对 信息 资产 风险 的 保护 需求 相 一 致 。 
有 具体 有 三 种 风险 评估 方法 可 供 选择 。 

方法 一 : 基本 风险 评估 。 是 参照 标准 所 列举 的 风险 对 组 织 资产 进行 风险 评估 的 方法 。 
标准 罗列 了 一 些 常见 信息 资产 所 面 对 风 险 及 其 管制 要 点 ,这些 要 点 对 一 些 中 小 企业 (如 业务 
性 质 较 简单 、 对 信息 处 理 和 计算 机 网 络 依赖 不 强 或 者 并 不 从 事 外 向 型 经 营 的 企业 ) 来 说 已 经 
足够 ,但 对 于 不 同 的 组 织 , 基 本 风险 评估 可 能 会 存在 一 些 问 题 。 一 方面 ,如 果 组 织 安全 等 级 
设置 太 高 ,对 一 些 风险 的 管制 措施 的 造价 将 会 太 昂贵 ,并 可 能 使 日 常 操作 受到 过 分 的 限制 ; 
但 如 果 定 得 太 低 , 则 可 能 对 一 些 风 险 的 管制 力度 不 够 。 另 一 方面 ,可 能 会 使 与 信息 安全 管理 
有 关 的 调整 比较 困难 ,因为 在 信息 安全 管理 系统 被 更 新 、 调 整 时 ,可 能 很 难 去 评估 原先 的 管 
制 措施 是 否 仍然 满足 现行 的 安全 需求 。 

方法 二 : 详细 风险 评估 。 即 先 对 组 织 的 信息 资产 进行 详细 划分 并 赋值 ,再 具体 针对 不 
同 的 信息 资产 所 面 对 的 不 同 风险 ,详细 划分 对 这 些 资产 造成 威胁 的 等 级 和 相关 的 脆弱 性 等 
级 ,并 利用 这 些 信息 评估 系统 存在 的 风险 的 大 小 来 指导 下 一 步 管制 措施 的 选择 。 一 个 组 织 
对 安全 风险 研究 得 越 精确 ,安全 需求 也 就 越 明 确 。 与 基本 风险 评估 相 比 ,详细 风险 评估 将 花 
费 更 多 的 时 间 和 精力 ,有 时 会 需要 专业 技术 知识 和 外 部 组 织 的 协助 才能 获得 评估 结果 。 

方法 三 : 基本 风险 评估 和 详细 风险 评估 相 结合 。 首 先 利 用 基本 风险 评估 方法 鉴别 出 在 
信息 安全 管理 系统 范围 内 存在 的 潜在 高 风险 或 者 对 组 织 商 业 动 作 至 关 重 要 的 资产 。 其 次 ， 
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将 信息 安全 管理 系统 范围 内 的 资产 分 为 两 类 : 一 类 是 需要 特殊 对 待 的 , 另 一 类 是 一 般 对 待 
的 。 对 特殊 对 待 的 信息 资产 使 用 详细 风险 评估 方法 ,对 一 般 对 待 的 信息 资产 使 用 基本 风险 
评估 方法 。 两 种 方法 的 结合 可 将 组 织 的 费用 和 资源 用 于 最 有 益 的 方面 。 但 也 存在 着 一 些 缺 
点 ,如 果 在 对 高 风险 的 信息 系统 的 鉴别 有 误 时 ,将 会 导致 不 精确 的 结果 ,从 而 将 会 对 组 织 的 
某 些 重要 信息 资产 的 保护 失去 效果 。 

(3) 灾难 恢复 资源 的 获取 方式 有 哪些 ? 

O@ 数据 备份 系统 。 数 据 备份 系统 可 由 组 织 自行 建设 ,也 可 通过 租用 其 他 机 构 的 系统 而 
获取 。 

@ 备用 数据 处 理 系统 。 可 选用 以 下 三 种 方式 之 一 来 获取 备用 数据 处 理 系统 : 事先 与 
厂商 签订 紧急 供 货 协 议 ; 事先 购买 所 需 的 数据 处 理 设备 并 存放 在 灾难 备份 中 心 或 安全 的 设 
备 仓库 ; 利用 商业 化 灾难 备份 中 心 或 签 有 互惠 协议 的 机 构 已 有 的 兼容 设备 。 

@ 备用 网 络 系统 。 备 用 网 络 通信 设备 可 通过 上 述 的 方式 获取 ; 备用 数据 通信 线路 可 
使 用 自 有 数据 通信 线路 或 租用 公用 数据 通信 线路 。 

@ 备用 基础 设施 。 可 选用 以 下 三 种 方式 获取 备用 基础 设施 : 由 组 织 所 有 或 运行 ; 多 方 
共 建 或 通过 互惠 协议 获取 ; 租用 商业 化 灾难 备份 中 心 的 基础 设施 。 

回 专业 技术 支持 能 力 。 可 选用 以 下 几 种 方式 获取 专业 技术 支持 能 力 : 灾难 备份 中 心 
设置 专职 技术 支持 人 员 ; 与 厂商 签订 技术 支持 或 服务 合同 ; 由 主 中 心 技 术 支 持 人 员 兼 任 ， 
但 对 于 RTO 较 短 的 关键 业务 功能 ,应 考虑 到 灾难 发 生 时 交通 和 通信 的 不 正常 ,造成 技术 支 
持 人 员 无 法 提供 有 效 支持 的 情况 。 

@ 运行 维护 管理 能 力 。 可 选用 以 下 对 灾难 备份 中 心 的 运行 维护 管理 模式 : 自行 运行 
和 维护 ; 委托 其 他 机 构 运 行 和 维护 。 

@ 灾难 恢复 预案 。 可 选用 以 下 方式 完成 灾难 恢复 预案 的 制定 .落实 和 管理 : 由 组 织 独 
立 完成 ; 聘请 具有 相应 资质 的 外 部 专家 指导 完成 ; 委托 具有 相应 资质 的 外 部 机 构 完 成 。 

(4) 简 述 风险 分 析 计 算 原 理 。 
风险 计算 原理 ,以 下 面 的 范式 形式 化 加 以 说 明 : 
风险 值 =R(A,T,V)=R(L(T,V),F(Ia,Va ))。 

其 中 ,R 表示 安全 风险 计算 函数 ; A 表示 资产 ; T 表示 威胁 ; V 表示 脆弱 性 ; Ia 表示 安 
全 事件 所 作用 的 资产 价值 ; Va 表示 脆弱 性 严重 程度 ; L 表示 威胁 利用 资产 的 脆弱 性 导致 安 
全 事件 的 可 能 性 ; FF 表示 安全 事件 发 生 后 造成 的 损失 。 有 以 下 三 个 关键 计算 环节 : 

QO 计算 安全 事件 发 生 的 可 能 性 。 

根据 威胁 出 现 频率 及 脆弱 性 的 状况 ,计算 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 ， 
即 安全 事件 的 可 能 性 =L( 威 胁 出 现 频率 ,脆弱 性 )==L(T,V )。 

在 具体 评估 中 ,应 综合 攻击 者 技术 能 力 ( 专 业 技术 程度 、 攻 击 设备 等 )、 脆 弱 性 被 利用 的 
难 易 程度 (可 访问 时 间 设计 和 操作 知识 公开 程度 等 ) .资产 吸引 力 等 因素 来 判断 安全 事件 发 
生 的 可 能 性 。 

@ 计算 安全 事件 发 生 后 造成 的 损失 。 

根据 资产 价值 及 脆弱 性 严重 程度 计算 安全 事件 一 旦 发 生 后 造成 的 损失 , 即 安全 事件 造 
成 的 损失 二 F( 资 产 价值 ,脆弱 性 严重 程度 ) 二 F(Ia,Va )。 

部 分 安全 事件 的 发 生 造 成 的 损失 不 仅仅 是 针对 该 资产 本 身 , 还 可 能 影响 业务 的 连续 性 。 
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不 同安 全 事件 的 发 生 对 组 织 的 影响 也 是 不 一 样 的 。 在 计算 某 个 安全 事件 的 损失 时 ,应 将 对 
组 织 的 影响 也 考虑 在 内 。 

部 分 安全 事件 造成 的 损失 的 判断 还 应 参照 安全 事件 发 生 可 能 性 的 结果 ,对 发 生 可 能 性 
极 小 的 安全 事件 (如 处 于 非 地 震 带 的 地 震 威胁 ,在 采取 完备 供电 措施 状况 下 的 电力 故障 威胁 
等 ) ,可 以 不 计算 其 损失 。 

@ 计算 风险 值 。 

根据 计算 出 的 安全 事件 的 可 能 性 以 及 安全 事件 造成 的 损失 计算 风险 值 , 即 风 险 值 = 尺 
(安全 事件 的 可 能 性 ,安全 事件 造成 的 损失 ) 一 RCLCT,V),FCIa,Va ))。 

评估 者 可 根据 自身 情况 选择 相应 的 风险 计算 方法 计算 风险 值 , 如 矩阵 法 或 相 乘 法 。 和 拢 
阵 法 通过 构造 一 个 二 维 矩 阵 ,形成 安全 事件 的 可 能 性 与 安全 事件 造成 的 损失 之 间 的 二 维 关 
系 ; 相 乘 法 通过 构造 经 验 函 数 ,将 安全 事件 的 可 能 性 与 安全 事件 造成 的 损失 进行 运算 得 到 
风险 值 。 

第 7 章 

1. 名 词 解释 

(1) 物 联 网 安全 : 物 联网 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶 然 的 或 者 恶意 
的 原因 而 遭 到 破坏 、 更 改 \ 汇 露 , 物 联网 系统 可 连续 可 靠 正常 地 运行 , 物 联网 服务 不 中 断 。 

(2) 容 侵 : 在 网 络 中 存在 恶意 入 侵 的 情况 下 ,网 络 仍 然 能 够 正常 地 运行 。 

2. 判断 题 

CY CX (2 (NY 

3. 填空 题 

(1) 感知 层 ”网 络 层 ”应 用 层 

(2) 密 钥 管理 鉴别 机 制 ”安全 路 由 机 制 ” 访 问 控制 机 制 ”安全 数据 融合 机 制 ” 容 侵 
容错 机 制 ( 填 4 项 即 可 ) 

4. 选择 题 

《1 ABDE (2 AC (3 ANC DD (4) A,B 

5. 简 答题 

(1) 简 述 物 联 网 发 展 的 前 景 。 

Q@ 物 联 网 巨大 商机 。 全 球 通信 网 络 在 经 历 了 几 十 年 快速 发 展 之 后 ,已 经 可 以 基本 满足 
人 与 人 随时 随地 沟通 的 需求 ,而 物 与 物 、 物 与 人 的 通信 及 上 层 应 用 这 种 物 联网 的 基本 发 展 需 
求 正 涌现 出 来 。 据 预测 ,到 2020 年 ,世界 上 “ 物 物 互联 ”的 业务 跟 人 与 人 通信 的 业务 比例 将 
达到 30 : 1,“ 物 联网 ”被 认为 是 下 一 个 万 亿美 元 级 的 通信 业务 。 

@ 物 联网 应 用 领域 更 广 。 现 代 物 联网 发 展 越 来 越 趋 向 于 精细 化 ,如 提高 了 数据 采集 的 
实时 性 和 准确 性 ,提高 了 城市 管理 、 工 业 管理 和 操作 管理 的 效率 和 精确 程度 。 其 次 , 物 联网 
发 展 也 更 加 智能 化 ,管理 方式 也 更 加 简单 。 目 前 全 球 物 联网 的 发 展 涉及 医疗 、 机 器 制造 、 消 
费 品 制造 ,节能 环保 产 、 电 子 支付 .农业 控制 ,交通 和 教育 等 方面 。 其 中 最 具 代 表 性 是 美国 
IBM 提出 的 智慧 地 球 .欧盟 提出 的 -2010、 日 本 提出 的 -JAPAN。 

@ 物 联 网 的 前 景 诱 人 。2010 年 之 前 的 RFID 被 广泛 应 用 于 物流 、 零 售 和 制药 领域 , 主 
要 处 于 闭环 的 行业 应 用 阶段 。 未 来 10 年 内 物体 进入 半 智 能 化 阶段 , 物 联 网 与 互联 网 走向 融 
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。10 年 后 ,物体 进入 全 智能 化 阶段 ,无 线 传 感 网 络 得 到 规模 应 用 ,将 进入 泛 在 网 的 发 展 阶 
。 我 们 的 工作 生活 将 更 加 方便 、 和 舒适 。 

(2) 物 联网 面临 的 安全 威胁 表现 在 哪些 方面 ? 

@ 传 感 网 络 是 一 个 存在 严重 不 确定 性 因素 的 环境 。 广 泛 存 在 的 传 感 智能 节点 本 质 上 
就 是 监测 和 控制 网 络 上 的 各 种 设备 ,它们 监测 网 络 的 不 同 内 容 ,提供 各 种 不 同 格式 的 事件 数 
据 来 表征 网 络 系统 当前 的 状态 。 然 而 ,这 些 传 感 智能 节点 又 是 一 个 外 来 人 侵 的 最 佳 场所 。 
从 这 个 角度 而 言 , 物 联网 感知 层 的 数据 非常 复杂 ,数据 间 存 在 着 频繁 的 冲突 与 合作 ,具有 很 
强 的 元 余 性 和 互补 性 , 且 是 海量 数据 。 它 具有 很 强 的 实时 性 特征 ,同时 又 是 多 源 异 构 型 数 
据 。 复 杂 的 网 络 和 实时 性 强 的 要 求 将 是 一 个 新 的 课题 .新 的 挑战 。 

@ 当 物 联网 感知 层 主 要 采用 RFID 技术 时 ,嵌入 了 RFID 芯片 的 物品 不 仅 能 方便 地 被 
物品 主人 所 感知 ,同时 其 他 人 也 能 进行 感知 。 特 别 是 当 这 种 被 感知 的 信息 通过 无 线 网 络 平 
台 进行 传输 时 ,信息 的 安全 性 相当 脆弱 。 如 何在 感知 ,传输 ,应 用 过 程 中 提供 一 套 强大 的 安 
全 体系 作 保障 是 一 个 难题 。 

@ 在 物 联 网 的 传输 层 和 应 用 层 也 存在 一 系列 的 安全 隐患 , 吸 待 出 现 相 对 应 的 、 高 效 的 
安全 防范 策略 和 技术 。 只 是 在 这 两 层 可 以 借鉴 TCP/IP 网 络 已 有 技术 的 地 方 比 较 多 一 些 ， 
与 传统 的 网 络 对 抗 相互 交叉 。 

(3) 传输 层 的 工作 原理 是 什么 ? 有 哪些 安全 缺陷 ? 

工作 原理 : 传输 层 的 功能 是 信息 传递 和 处 理 。 在 物 联网 中 ,感知 层 感 知 到 的 数据 能 够 
被 传输 层 无 障碍 、 高 安全 性 、 高 可 靠 性 地 进行 传送 ,传输 层 解决 的 是 感知 层 所 获得 的 数据 在 
一 定 范围 内 ,尤其 是 远 距离 的 传输 问题 。 同 时 , 物 联网 传输 层 将 承担 比 现 有 网 络 大 的 数据 量 
和 面临 更 高 的 服务 质量 要 求 , 所 以 现 有 网 络 尚 不 能 满足 物 联 的 需求 ,这 就 意味 着 物 联 网 需要 
对 现 有 网 络 进行 融合 和 扩展 ,利用 新 技术 以 实现 更 加 广泛 和 高 效 的 互联 功能 。 

安全 缺陷 : 物 联网 中 的 感知 层 所 获取 的 感知 信息 通常 由 无 线 网 络 传输 至 系统 , 相 比 
TCP/IP 网 络 ,恶意 程序 在 无 线 网 络 环境 和 传 感 网 络 环境 中 有 无 穷 多 的 人 口 。 对 这 种 暴露 
在 公开 场所 之 中 的 信息 如 果 没 作 合适 保护 的 话 更 容易 被 人 侵 ,如 类 似 于 蠕虫 这 样 的 恶意 代 
码 ,一 旦 人 侵 成 功 , 其 传播 性 .隐蔽 性 、 破 坏 性 等 更 加 难以 防范 ,在 这 样 的 环境 中 检测 和 清除 
这 样 的 恶意 代码 将 很 困难 ,这 将 直接 影响 到 物 联 网 体系 的 安全 。 物 联网 建立 在 互联 网 的 基 
础 上 ,对 互联 网 的 依赖 性 很 高 ,在 互联 网 中 存在 的 危害 信息 安全 的 因素 在 一 定 程度 上 同样 也 
会 造成 对 物 联 网 的 危害 。 随 着 互联 网 的 发 展 ,病毒 攻击 、. 黑 客人 侵 , 非 法 授权 访问 均 会 对 互 
联网 用 户 造成 损害 。 物 联网 中 感知 层 的 传感器 设备 数量 庞大 ,所 采集 的 数据 格式 多 种 多 样 ， 
而 且 其 数据 信息 具有 海量 、 多 源 和 异 构 等 特点 ,因此 在 传输 层 会 带 来 更 加 复杂 的 网 络 安全 问 
题 。 初 步 分 析 认 为 , 物 联网 传输 层 将 会 遇 到 下 列 安全 挑战 : DoS 攻击 、DDoS 攻击; 假冒 攻 
击 中 间 人 攻击 等 ; 跨 异 构 网 络 的 网 络 攻击 。 
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1. 填空 题 

(1) 主动 攻击 ”被 动 攻击 

(2) 封杀 标签 法 ”裁剪 标签 法 “法拉第 单 法 
(3) 传感器 模块 ”处 理 器 模块 ”无线 通信 模块 
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2. 选择 题 

《ED 的 及 ,BC FABC AOLAG 

3. 简 答题 

(1) 基于 物 联网 本 身 的 特点 和 上 述 列举 的 物 联网 感知 层 在 安全 方面 存在 的 问题 ,需要 
采取 哪些 有 效 的 防护 对 策 ? 

加 强 对 传 感 网 机 密 性 的 安全 控制 。 在 传 感 网 内 部 ,需要 有 效 的 密 钥 管理 机 制 用 于 保 
障 传 感 网 内 部 通信 的 安全 ,机 密 性 需要 在 通信 时 建立 一 个 临时 会 话 密 钥 ,确保 数据 安全 。 例 
如 在 物 联 网 构建 中 选择 射频 识别 系统 ,应 该 根据 实际 需求 考虑 是 否 选 择 有 密码 和 认证 功能 
的 系统 。 

@ 加 强 节点 认证 。 个 别传 感 网 (特别 是 当 传 感 数据 共享 时 ) 需 要 节点 认证 ,确保 非法 节 
点 不 能 接 入 。 认 证 性 可 以 通过 对 称 密码 或 非 对 称 密码 方案 解决 。 使 用 对 称 密码 的 认证 方案 
需要 预 置 节点 间 的 共享 密 钥 ,在 效率 上 也 比较 高 ,消耗 网 络 节点 的 资源 较 少 ,许多 传 感 网 部 
选用 此 方案 。 而 使 用 非 对 称 密码 技术 的 传 感 网 一 般 具 有 较 好 的 计算 和 通信 和 能力 ,并 且 对 安 
全 性 要 求 更 高 。 在 认证 的 基础 上 完成 密 钥 协商 是 建立 会 话 密 钥 的 必要 步骤 。 

@ 加 强 入 侵 监 测 。 一 些 重要 传 感 网 需要 对 可 能 被 敌手 控制 的 节点 行为 进行 评估 ,以 降 
低 敌 手 入 侵 后 的 危害 。 敏感 场合 ,节点 要 设置 封锁 或 自 毁 程序 ,发 现 节点 离开 特定 应 用 和 场 
所 ,启动 封锁 或 自 毁 ,使 攻击 者 无 法 完成 对 节点 的 分 析 。 

@ 加 强 对 传 感 网 的 安全 路 由 控制 。 几 乎 所 有 传 感 网 内 部 都 需要 不 同 的 安全 路 由 技术 。 
传 感 网 的 安全 需求 所 涉及 的 密码 技术 包括 轻 量 级 密码 算法 、 轻 量 级 密码 协议 和 可 设 定安 全 
等 级 的 密码 技术 等 。 

@ 应 构建 和 完善 我 国信 息 安 全 的 监管 体系 。 目 前 监管 体系 存在 着 执法 主体 不 集中 ,多 
重 多 头 管理 ,对 重要 程度 不 同 的 信息 网 络 的 管理 要 求 没有 差异 `. 没 有 标准 ,缺乏 针对 性 等 问 
题 ,对 应 该 重点 保护 的 单位 和 信息 系统 无 从 入 手 实施 管控 。 由 于 传 感 网 的 安全 一 般 不 涉及 
其 他 网 路 的 安全 ,因此 蚌 相对 较 独立 的 问题 ,有 些 已 有 的 安全 解决 方案 在 物 联网 环境 中 也 同 
样 适用 。 但 由 于 物 联网 环境 中 传 感 网 遭受 外 部 攻击 的 机 会 增 大 ,因此 用 于 独立 传 感 网 的 传 
统 安全 解决 方案 需要 提升 安全 等 级 后 才能 使 用 ,也 就 是 说 在 安全 的 要 求 上 更 高 。 

(2) 传感器 网 络 加 密 技 术 有 哪些 算法 ? 

对 称 密 钥 加 密 算法 : 

Q@ TEA 加 密 算法 。DavidJ. Wheeler 等 人 提出 了 一 种 微型 加 密 算法 (Tiny Encryption 
Algorithm,TEA)。 该 对 称 分 组 加 密 算 法 采用 迭代 .加 减 而 不 是 异 或 操作 来 进行 可 逆 操 作 ， 
它 是 一 种 Feistel 类 型 的 加 密 算 法 。Shauang Liu 等 人 在 传感器 Mote 上 进行 实验 ,在 实验 
设 定 的 不 同 频率 发 包 下 ,使 用 TEA 算法 使 得 发 送 消息 包 时 间 间 隔 平 均 增 加 了 43%。TEA 
算法 的 优点 是 至 今 未 能 破解 密 文 .占用 极 小 的 内 存 和 计算 资源 。 它 的 一 个 缺陷 是 在 每 64 位 
组 内 , 当 第 32 位 及 64 位 一 同 发 生 改 变 时 ,TEA 算法 无 法 检测 到 这 种 变化 。 另 外 , 它 的 安全 
性 还 没 经 过 严密 的 安全 审查 。 

@ RC5、RC6 加 密 算法 。RC5 是 1994 年 由 MIT 的 RonaldL. Rivest 等 人 提出 的 一 种 
快速 对 称 加 密 算法 。 使 用 加 法 、 异 或 和 循环 左 移 三 个 基本 操作 实现 加 密 。 它 的 特点 是 适合 
硬件 和 软件 实现 ,快速 .可 变 块 长 .可 变 长 度 密 钥 ,简单 高 安全 性 和 使 用 依赖 于 数据 的 循环 移 
位 等 。 该 算法 中 循环 移 位 是 唯一 的 线性 部 分 ,与 数据 相关 循环 移 位 运算 将 使 得 线性 和 差分 
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密码 分 析 更 加 困难 。RC6 算法 是 在 RC5 算法 基础 之 上 针对 RC5 算法 中 的 漏洞 ,通过 引入 
乘法 运算 来 决定 循环 移 位 次 数 的 方法 ,对 RC5 算法 进行 了 改进 ,提高 了 RC5 算法 的 安全 
性 。 然 而 ,RC6 算法 相对 复杂 ,执行 效率 也 远 比 RC5 算法 低 。AdrianPerrig 等 人 在 传感器 
网 络 安全 协议 SPINS 中 ,采用 RC5 子 集 、 裁 剪 代 码 等 方法 ,使 得 代码 量 减 少 了 40% ,并 在 
BerkeleySrnartDust 实现 了 该 算法 。 该 算法 的 优点 是 安全 性 高 。 它 的 缺点 是 相对 传感器 网 
络 来 说 资源 耗费 比较 大 。 另 外 ,Perrig 等 人 的 改写 算法 还 需要 进一步 的 实践 证 明 ; 并 且 
RC5 本 身 也 容易 受到 暴力 攻击 ; RC5 需要 计算 初始 计算 密 钥 ,将 浪费 额外 的 节点 RAM 字 
节 数 。 

非 对 称 密 钥 加 密 算法 ， 

Q@ RSA。RSA 公 钥 算法 是 第 一 个 比较 完善 的 公开 密 钥 算法 , 它 既 能 用 于 加 密 , 也 能 用 
于 数字 签名 。RSA 方案 自 1978 年 首次 公布 之 后 ,已 经 经 受 了 多 年 深入 的 密码 分 析 , 虽 然 密 
码 分 析 者 不 能 证 明 也 不 能 否定 RSA 的 安全 性 ,但 这 恰恰 说 明了 该 算法 有 一 定 的 可 信 度 。 
RSA 方案 目前 已 经 得 到 了 广泛 的 应 用 ,在 公 钥 加 密 算法 中 是 比较 流行 的 。 由 于 RSA 是 最 
容易 理解 和 实现 的 ,也 由 于 RSA 的 地 位 ,有 必要 研究 一 下 这 个 算法 。 

RSA 的 安全 是 基于 大 数 分 解 的 难度 ,是 一 种 分 组 加 密 方法 。 其 公开 密 钥 和 私人 密 钥 是 
一 对 大 素数 (100 一 200 个 十 进 制 数 或 是 更 大 ) 的 函数 。 从 一 个 公开 密 钥 和 密 文中 恢复 出 明 
文 的 难度 等 价 于 分 解 两 个 大 素数 之 积 。 

为 了 产生 两 个 密 钥 ,选取 两 个 大 素数 p 和 g。 为 了 获得 最 大 程度 的 安全 性 ,两 数 的 长 度 
一 样 。 计 算 乘 积 : n= 二 pXg。 

然后 随机 选取 加 密 密 钥 ,使 和 (z 一 1)(q 一 1) 互 素 。 最 后 用 欧 几 里 德 扩展 算法 计算 
解密 密 钥 d, 以 满足 ed 二 1(mod(p 一 1)(g 一 1))。 

d= 二 e mod((p 一 1)(g 一 1)), 其 中 4 和 nn 也 互 素 。e 入 是 公开 密 钥 ,d 是 私人 密 钥 。 
两 个 素数 p 和 g 不 再 需要 ,它们 应 该 被 舍弃 ,但 绝 不 可 泄露 。 

@ Diffe-Huffman。Diffe-Huffman 算法 是 基于 离散 对 数 计算 的 困难 性 。 

@ 椭圆 曲线 密码 算法 (ECC)。 椭 圆 曲 线 密码 算法 是 由 NeilKoblitz 和 VictorMiller 两 
位 学 者 分 别 在 1985 年 提出 的 。RSA 系统 中 需要 使 用 1024 位 的 模 数 才能 达到 的 安全 等 级 ， 
椭圆 曲线 密码 算法 只 需要 160 位 模 数 即 可 , 且 传送 密 文 和 签名 所 需要 的 频 宽 较 少 , 现 已 经 列 
和 人 IEEE 1363 标准 。 

许多 研究 者 正 尝试 着 在 传感器 节点 上 实现 公 钥 运算 。Gum 等 在 8 位 微 控制 器 上 实现 
ECC 和 RSA 并 比较 它们 的 性 能 。DavidJ. Malan 等 人 第 一 次 在 传感器 MICA2Mote 上 实现 
了 RSA 公 钥 加 密 一 一 椭圆 曲线 加 密 。RonaldWatro 等 人 也 在 TinyPk 中 使 第 三 方 节点 加 
入 传感器 网 络 时 可 以 安全 地 传输 会 话 密 钥 给 第 三 方 ,采用 了 RSA 加 密 和 Diffie-Hellman 密 
钥 交 换 。 此 外 ,由 于 基站 的 资源 限制 较 少 ,因此 在 基站 中 多 采用 PKI 技术 进行 传感器 节点 
的 身份 认证 。 

Benenson 等 基于 EccM 库 设 计 用 户 认证 协议 ,并 在 TelosB 节点 上 实现 ,但 是 认证 需要 
几 分 钟 。Sizzle 使 用 ECC 将 标准 的 SSL 在 传感器 网 络 中 实现 。 现 有 传感器 网 络 访问 控制 
主要 是 基于 公 钥 体制 。HaodongW 等 提议 基于 椭圆 曲线 密码 的 传感器 网 络 访问 机 制 。 

随 着 技术 的 进步 ,传感器 节点 的 能 力也 越 来 越 强 。 原 先 被 认为 不 可 能 应 用 的 密码 算法 
的 低 开销 版 本 开始 被 接受 。 低 开销 的 密码 算法 依然 是 传感器 网 络 安全 研究 的 热点 之 一 。 
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4. 论述 题 

无 线 传感器 网 络 可 能 遭遇 的 攻击 类 型 多 种 多 样 ,按照 网 络 模型 划分 ,主要 面临 的 威胁 有 
哪些 ? 

物理 层 攻击 : 

物理 攻击 主要 集中 在 物理 破坏 、 节 点 捕获 、 信 号 干扰 、 窃 听 和 自 改 等 。 攻 击 者 可 以 通过 
流量 分 析 , 发 现 重要 节点 如 簇 头 、 基 站 的 位 置 ,然后 发 动物 理 攻 击 。 

Q@ 信号 干扰 和 窃听 攻击 。 因 为 采用 无 线 通 信 , 低 成 本 的 传感器 网 络 很 容易 遭受 信号 干 
扰 和 窃听 攻击 。 

@ 自 改 和 物理 破坏 攻击 。 由 于 传感器 节点 分 布 广 ,成 本 低 , 很 容易 物理 损坏 或 被 捕获 ， 
因此 一 些 加 密 密 钥 和 机 密 信息 就 可 能 被 破坏 或 泄漏 ,攻击 者 甚至 可 以 通过 分 析 其 内 部 敏感 
信息 和 上 层 协 议 机 制 ,破解 传感器 网 络 的 安全 机 制 。 

@ 仿冒 节点 攻击 。 因 为 很 多 路 由 协议 并 不 认证 报 文 的 地 址 ,所 以 攻击 者 可 以 声称 为 某 
个 合法 节点 而 加 入 网 络 ,甚至 能 够 屏 项 某 些 合法 节点 , 蔡 它 们 收发 报 文 。 

链 路 层 安 全 威胁 : 

链 路 层 比较 容易 遭受 DoS 攻击 ,攻击 者 可 以 通过 分 析 流 量 来 确定 通信 和 链 路 ,发 动 相应 
攻击 ,如 对 主要 通信 节点 发 动 资源 消耗 攻击 。 

@ 链 路 层 碰撞 攻击 。 数 据 包 在 传输 过 程 中 不 能 够 发 生 冲 突 , 只 要 有 一 个 字 节 的 数据 发 
生 冲 突 , 那 么 整个 数据 包 都 会 被 丢弃 ,这 种 冲突 在 链 路 层 协议 中 称 为 碰撞 。 攻 击 者 通过 花费 
很 小 的 代价 可 实行 链 路 层 碰撞 攻击 。 例 如 发 送 一 个 字 节 的 报 文 破坏 正在 传送 的 正常 数据 
包 , 从 而 引起 接收 方 校 验 和 出 错 ,进而 在 一 些 MAC 协议 中 认为 链 路 层 碰撞 ,引发 指数 退 避 
机 制 ,造成 网 络 延迟 ,甚至 瘫痪 。 

@ 资源 消耗 攻击 。 攻 击 者 发 送 大 量 的 无 用 报 文 消耗 网 络 和 节点 资源 ,如 带宽 、 内 存 、 
CPU 和 能 量 等 。 例 如 剥夺 睡眠 攻击 用 ,攻击 者 不 停 发 送 报 文 ,使 得 节点 的 电源 很 快 耗 尽 ,从 
而 达到 DoS 攻击 效果 。 

@ 非 公平 竞争 。 如 果 网 络 通信 机 制 中 存在 优先 级 控制 , 则 被 俘 节 点 或 恶意 节点 就 可 以 
通过 不 断 发 送 高 优先 级 的 数据 包 占 据 信 道 , 从 而 使 得 其 他 节点 在 通信 过 程 中 不 能 够 获得 
信道 。 

网 络 层 的 安全 威胁 : 

QO@ 虚假 路 由 攻击 。 通 过 欺骗 、 算 改 或 重 发 路 由 信息 ,攻击 者 可 以 创建 路 由 循环 ,引起 
或 抵制 网 络 传输 ,延长 或 缩短 源 路 径 , 形 成 虚假 错误 消息 ,分 割 网 络 ,增加 端 到 端的 延 
迟 等 。 

@ 选择 性 地 转发 。 恶 意 性 节点 可 以 概率 性 地 转发 或 者 丢弃 特定 消息 ,使 数据 包 不 能 
到 达 目 的 地 ,导致 网 络 陷入 混乱 状态 。 当 攻击 者 在 数据 传输 路 径 上 时 ,该 攻击 通常 最 为 
有 效 。 

@ Sinkhole 槽 洞 攻击 。 攻 击 者 的 目标 是 尽 可 能 地 引诱 一 个 区 域 中 的 流量 通过 一 个 恶 
意 节点 或 已 遭受 入侵 的 节点 ,进而 制造 一 个 以 恶意 节点 为 中 心 的 “接收 洞 ”, 一 旦 数据 都 经 过 
该 恶意 节点 ,节点 就 可 以 对 正常 数据 进行 自 改 ,并 能 够 引发 很 多 其 他 类 型 的 攻击 。 因 此 ,无 
线 传感器 网 络 对 Sinkhole 攻击 特别 敏感 。 

@ DoS 攻击 。 由 于 无 线 传感器 网 络 是 基于 某 一 任务 的 合作 团队 ,在 无 线 传感器 网 络 节 
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点 之 间 建立 合作 规则 以 达成 默契 ,这 需要 彼此 之 间 频 繁 地 交换 信息 。 攻 击 点 可 以 以 不 同 的 
身份 连续 向 某 一 邻居 发 送 路 由 或 数据 请 求 报 文 ,使 该 邻居 不 停 地 分 配 资源 以 维持 一 个 新 的 
连接 。 由 于 无 线 传感器 网 络 节点 资源 有 限 , 这 种 攻击 尤为 致命。 

@ Sybil 攻击 。Sybil 攻击 是 位 于 某 个 位 置 的 单个 恶意 节点 不 断 地 声明 其 有 多 重 身份 
(如 多 个 位 置 等 ) ,通告 给 其 他 节点 ,使 得 它 在 其 他 节点 面前 具有 多 个 不 同 的 身份 ,事实 上 是 
不 存在 的 ,所 有 发 往 这 些 虚 拟 节点 的 数据 都 被 恶意 节点 获得 。Sybil 攻击 对 于 基于 位 置信 息 
的 路 由 算法 很 有 威胁 。 

@ Wormholes 攻击 。 恶 意 节点 通过 声明 低 延 迟 链 路 骗取 网 络 的 部 分 消息 并 开 溺 隧 道 ， 
以 两 个 节点 间 貌 似 较 短 的 距离 来 吸引 路 由 ,并 在 网 络 的 其 他 区 域 中 重 放 骗 取 到 的 消息 。 如 
图 8-4 所 示 , 两 个 恶意 节点 之 间 有 一 个 低 延 迟 、 高 带宽 的 链 路 ,其 中 一 个 恶意 节点 位 于 基站 
附近 ,这 样 较 远 处 的 那个 恶意 节点 可 以 使 周围 节点 相信 自己 有 一 条 到 达 基 站 的 高 效 路 由 ,从 
而 吸引 周围 的 流量 。 虫 洞 攻击 可 以 引发 其 他 类 似 于 Sinkhole 攻击 等 ,也 可 能 与 选择 性 转发 
或 Sybil 攻击 结合 起 来 。 

@ HELLO 洪 泛 攻 击 。 攻 击 者 使 用 足够 大 功率 的 无 线 设备 广播 HELLO 包 , 使 得 网 络 
中 的 每 一 个 节点 都 认为 攻击 者 是 其 直接 邻居 ,并 试图 将 其 报 文 转发 给 攻击 节点 。 由 于 一 部 
分 节点 距离 攻击 节点 相当 远 , 加 上 传输 能 力 有 限 ,发 送 的 消息 根本 不 可 能 到 达 攻 击 节点 而 造 
成 数据 包 丢 失 ,从 而 使 网 络 陷入 一 种 混乱 状态 。 

@ 确认 欺骗 。 一 些 传感器 网 络 路 由 算法 依赖 于 潜在 的 或 者 明确 的 链 路 层 确认 。 在 确 
认 欺 骗 攻击 中 ,恶意 节点 窃听 发 往 邻 居 的 分 组 ,并 伪造 链 路 层 确认 ,使 得 发 送 者 相信 一 条 差 
的 链 路 是 好 的 或 一 个 已 死 节点 是 活着 的 ,而 随后 在 该 链 路 上 传输 的 报 文 将 丢失 。 

@ 被 动 窃听 。 攻 击 者 可 轻易 地 对 单个 甚至 多 个 通信 链 路 间 传 输 的 信息 进行 窍 听 , 从 而 
分 析出 传 感 信息 中 的 敏感 数据 。 另 外 ,通过 传 感 信息 包 的 窃听 ,还 可 以 对 无 线 传感器 网 络 中 
的 网 络 流量 进行 分 析 ,推导 出 传 感 节点 的 作用 等 。 

传输 层 攻击 : 

Q@ 洪 泛 攻 击 。 攻 击 者 通过 发 送 很 多 连接 确认 请 求 给 节点 ,迫使 节点 为 每 个 连接 分 配 资 
源 以 维持 每 个 连接 ,以 此 消耗 节点 资源 。 

@ 重 放 攻击 。 攻 击 者 截获 在 无 线 传感器 网 络 中 传播 的 传 感 信 息 ,控制 信息 和 路 由 信息 
等 ,对 这 些 截 获 的 旧 信 息 进 行 重新 发 送 , 从 而 造成 网 络 混乱 、 传 感 节点 错误 决策 等 。 


第 9 章 


1. 名 词 解释 

(1) 核心 网 : 通常 指 除 了 接 人 网 和 用 户 驻 地 网 之 外 的 网 络 部 分 。 将 业务 提供 者 与 接 人 
网 ,或 者 将 接 入 网 与 其 他 接 入 网 连接 在 一 起 的 网 络 。 

(2) NGN: 下 一 代 网 络 , 泛 指 一 个 以 IP 技术 为 核心 ,基于 时 分 复 用 的 PSTN 语音 网 络 
和 基于 异步 传输 模式 的 分 组 网 络 融 合 的 产物 。 同 时 可 以 支持 电话 和 互联 网 接 入 业务 、 数 据 
业务 、 视 频 流 媒体 业务 .数字 TV 广播 业务 和 移动 等 业务 。NGN 是 全 业务 的 网 络 。 

(3) 服务 器 虚拟 化 : 将 底层 物理 设备 与 上 层 操 作 系 统 、 软 件 分 离 的 一 种 去 耦合 技术 , 它 
将 硬件 .操作 系统 和 应 用 程序 一 同 装 人 一 个 可 迁移 的 虚拟 机 档案 文件 中 。 

(4) 移动 通信 : 移动 体 之 间 的 通信 ,或 移动 体 与 固定 体 之 间 的 通信 。 
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(5) 3G: 第 三 代 移 动 通信 技术 .是 指 支持 高 速 数据 传输 的 蜂窝 移动 通信 技术 。 

2. 判断 题 

(Vv) 

3. 填空 题 

(1) 防火 墙 ”加密 技术 ”数字 签名 和 认证 技术 ”使 用 摘要 算法 的 认证 ”基于 PKI 的 认 
证 数字 签名 VPN 技术 ( 填 4 个 即 可 ) 

(2) 网 络 安全 用户 数据 安全 

(3) 电磁 安全 设备 安全 链 路 安全 通信 基础 设施 过 于 集中 信 令 网 安全 同步 外 
安全 ”网络 遭受 自然 灾害 ”网 络 被 流量 冲击 ”终端 安全 网络 业务 安全 网络 资源 安全 
通信 内 容 安 全 ”有害 信息 扩散 ( 填 4 个 即 可 ) 

(4) 云 服务 器 存储 网 络 数据 中 心 网 络 ” 跨 数据 中 心 网络 泛 在 的 云 接 入 网 络 

(5) 移动 终端 ”无 线 接 入 网 无 线 核心 网 

(6) 硬件 物理 防护 ”硬件 平台 加 固 ”操作 系统 加 固 

4. 选择 题 

(1) BC (2) A\BCD (3) A.C.D (4) A.B.C (5) B.D (6) B.C.D (7) A、 
BC:D 

5. 简 答题 

(1) 网 络 安全 保护 技术 分 为 哪 几 类 ? 

网 络 层 安全 是 物 联网 安全 的 重要 层面 ,主要 包括 被 动 安全 保护 .主动 安全 保护 和 整体 安 
全 保护 。 

Qa 被 动 的 安全 保护 技术 。 目 前 在 网 络 安全 中 ,被动 的 安全 保护 技术 主要 有 物理 保护 和 
安全 管理 .入侵 检测 ,防火墙 等 。 物 理 保护 和 安全 管理 指 制 定 管理 方法 和 规则 对 网 络 中 的 物 
理 实体 和 信息 系统 进行 规范 管理 ,从 而 减少 人 为 因素 所 带 来 的 不 利 影响 。 入 侵 检测 指 在 网 
络 系统 的 检查 位 置 执行 人 侵 检测 功能 的 程序 ,从 而 可 以 对 系统 当前 的 运行 状况 和 资源 进行 
监控 ,发 现 可 能 的 人 侵 行为 。 防 火 墙 指 在 Internet 和 组 织 内 部 网 之 间 实 现 安全 策略 的 访问 
控制 保护 , 它 的 核心 思想 是 采用 包 过 滤 技 术 。 

@ 主动 的 安全 保护 技术 。 主 动 的 安全 保护 技术 一 般 有 存 取 控制 、 权 限 设 置 . 数 据 加 密 
和 身份 识别 等 。 存 取 控 制 指 网 络 系统 对 用 户 或 实体 规定 权限 操作 的 能 力 。 它 的 内 容 主 要 有 
访问 权限 设置 人员 限 制 , 数 据 标识 和 控制 类 型 等 。 权 限 设置 指 规定 授权 用 户 或 实体 对 网 络 
信息 资源 的 访问 范围 , 即 能 对 资源 进行 哪 种 操作 。 数 据 加 密 指 采用 通过 对 数据 进行 加 密 来 保 
护 网 络 中 的 信息 安全 。 身 份 识别 强调 一 致 性 验证 ,通常 包括 验证 依据 ,验证 系统 和 安全 要 求 。 

@ 整体 的 安全 保护 技术 。 被 动 和 主动 安全 保护 技术 都 是 目前 提高 网 络 系统 安全 性 的 
有 效 手段 。 其 中 的 脆弱 性 扫描 技术 是 检查 自身 网 络 系统 安全 ,及 时 发 现 问题 和 修补 脆弱 性 ， 
降低 系统 的 安全 风险 。 现 在 多 数 的 网 络 安全 保护 模型 采用 防火 墙 \ 入 侵 检测 系统 ,扫描 器 的 
安全 保护 体系 ,在 最 外 层 通过 防火 墙 来 对 内 部 网 和 外 部 网 之 间 的 信息 进行 过 滤 。 第 二 层 通 
过 入 侵 检 测 系统 对 网 络 系统 进行 实时 监测 和 分 析 , 并 且 作 出 相应 的 报警 。 内 层 则 通过 安全 
扫描 器 对 网 络 系统 进行 安全 评估 和 查找 脆弱 性 。 

(2) 云 计算 的 虚拟 化 安全 问题 主要 集中 在 哪 几 点 ? 

中 VM Hopping。 一 台 虚 拟 机 可 能 监控 另 一 台 虚 拟 机 甚至 会 接 人 到 宿主 机 ,这 称 为 
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VM Hopping。 如 果 两 个 虚拟 机 在 同一 台 宿 主机 上 ,一 个 在 虚拟 机 1 上 的 攻击 者 通过 获取 
虚拟 机 2 的 IP 地 址 或 通过 获得 宿主 机 本 身 的 访问 权限 可 接 入 到 虚拟 机 2。 攻 击 者 监控 虚 
拟 机 2 的 流量 ,可 以 通过 操纵 流量 攻击 ,或 改变 它 的 配置 文件 将 虚拟 机 2 由 运行 改 为 离线 ， 
造成 通信 中 断 。 当 连接 重新 建立 时 ,通信 将 需要 重新 开始 。 

@ VM Escape。VM Escape 攻击 获得 监控 者 的 访问 权限 ,从 而 对 其 他 虚拟 机 进行 攻 
击 。 若 一 个 攻击 者 接 入 的 主机 运行 多 个 虚拟 机 , 它 可 以 关闭 Hypervisor, 最 终 导致 这 些 虚 
拟 机 关闭 。 

@ 远程 管理 缺陷 。 监 控 者 通常 由 管理 平台 来 为 管理 员 管理 虚拟 机 。 例 如 , Xen 用 
XenCenter 管理 其 虚拟 机 。 这 些 控 制 台 可 能 会 引起 一 些 新 的 缺陷 ,例如 跨 站 脚本 攻击 、SQL 
人 侵 等 。 

@ 拒绝 服务 (DoS) 的 缺陷 。 在 虚拟 化 环境 下 ,资源 (如 CPU 内存 、 硬 盘 和 网 络 ) 巾 虚拟 
机 和 宿主 机 一 起 共享 。 因 此 ,DoS 攻击 可 能 会 加 到 虚拟 机 上 ,从 而 获取 宿主 机 上 所 有 的 资 
源 ,因为 没有 可 用 资源 ,从 而 造成 系统 将 会 拒绝 来 自 客户 的 所 有 请 求 。 

@ 基于 Rootkit 的 虚拟 机 。Rootkit 概念 出 现在 UNIX 中 , 它 是 一 些 收集 工具 ,能 够 获 
得 管理 员 级 别 的 计算 机 或 计算 机 网 络 访问 。 如 果 监 控 者 被 Rootkit 控制 ,Rootkit 可 以 得 到 
整个 物理 机 器 的 控制 权 。 

@ 迁移 攻击 。 迁 移 攻 击 可 以 将 虚拟 机 从 一 台 主 机 移动 到 另 一 台 , 也 可 以 通过 网 络 或 
USB 复制 虚拟 机 。 虚 拟 机 的 内 容 存储 在 Hypervisor 的 一 个 文件 中 。 在 虚拟 机 移动 到 另 一 
个 位 置 的 过 程 中 ,虚拟 磁盘 被 重新 创建 ,攻击 者 能 够 改变 源 配 置 文件 和 虚拟 机 的 特性 。 一 旦 
攻击 者 接触 到 虚拟 磁盘 ,攻击 者 有 足够 的 时 间 来 打破 所 有 的 安全 措施 ,例如 密码 、 重 要 认证 
等 。 由 于 该 虚拟 机 是 一 个 实际 虚拟 机 的 副本 ,难以 追踪 攻击 者 的 此 类 威胁 。 

除 此 以 外 ,虚拟 机 和 主机 之 间 共 享 剪 切 板 可 能 造成 安全 问题 。 若 主机 记录 运行 在 主机 
上 的 虚拟 机 的 登录 按键 和 屏幕 操作 ,如 何 确保 主机 日 志 的 安全 也 是 一 个 问题 。 

(3) 请 简单 介绍 一 下 3G 的 几 种 标准 。 

@@ WCDMA。 全称 为 Wideband CDMA ,也 称 为 CDMA Direct Spread, 意 为 宽频 分 码 
多 重 存 取 , 这 是 基于 GSM 网 发 展 出 来 的 3G 技术 规范 ,是 欧洲 提出 的 宽带 CDMA 技术 , 它 
与 日 本 提出 的 宽带 CDMA 技术 基本 相同 ,目前 正在 进一步 融合 。WCDMA 的 支持 者 主要 
是 以 GSM 系统 为 主 的 欧洲 厂商 ,日 本 公司 也 或 多 或 少 参与 其 中 ,包括 欧美 的 爱立信 、 阿 尔 
卡特 ,诺基亚 ,朗讯 、 北 电 , 以 及 日 本 的 NTT、 富 士 通 、 夏 普 等 厂商 。 该 标准 提出 了 
GSM(2G) 一 GPRS>EDGE 一 WCDMA(3G) 的 演进 策略 。 这 套 系统 能 够 架设 在 现 有 的 
GSM 网 络 上 ,对 于 系统 提供 商 而 言 可 以 较 轻 易 地 过 渡 。 预 计 在 GSM 系统 相当 普及 的 亚 
洲 , 对 这 套 新 技术 的 接受 度 会 相当 高 ,因此 WCDMA 具有 先天 的 市 场 优 势 。WCDMA 已 是 
当前 世界 上 采用 的 国家 及 地 区 最 广泛 的 ,终端 种 类 最 丰富 的 一 种 3G 标准 ,占据 全 球 80% 以 
上 市 场 份额 。 

@ CDMA2000。CDMA2000 是 由 窗 带 CDMA (CDMA 1S95) 技 术 发 展 而 来 的 宽带 
CDMA 技术 ,也 称 为 CDMA Multi-Carrier, 它 是 由 美国 高 通 北 美 公司 为 主导 提出 ,摩托 罗 
拉 、Lucent 和 后 来 加 入 的 韩国 三 星 都 有 参与 ,韩国 成 为 该 标准 的 主导 者 。 这 套 系统 是 从 罕 
频 CDMAOne 数字 标准 衍生 出 来 的 ,可 以 从 原 有 的 CDMAOne 结构 直接 升级 到 3G ,建设 成 
本 低廉 。 但 使 用 CDMA 的 地 区 只 有 日 、 韩 和 北美 ,所 以 CDMA2000 的 支持 者 不 如 
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W-CDMA 多 。 不 过 CDMA2000 的 研发 技术 却 是 目前 各 标准 中 进度 最 快 的 ,许多 3G 手机 
已 经 率先 面世 。 该 标准 提出 了 CDMA IS95(2G) 一 CDMA20001x 一 CDMA20003x(3G) 的 
演进 策略 。CDMA20001x 被 称 为 2. 5 代 移 动 通信 技术 。CDMA20003x 与 CDMA20001x 
的 主要 区 别 在 于 应 用 了 多 路 载波 技术 ,通过 采用 三 载波 使 带宽 提高 。 中 国电 信 正 在 采用 这 
一 方案 向 3G 过 渡 ,并 已 建成 了 CDMA IS95 网 络 。 

@ TD-SCDMA。TD-SCDMAC Time Division-Synchronous CDMA ,时 分 同步 CDMA 
标准 是 由 中 国 大 陆 独自 制定 的 3G 标准 ,1999 年 6 月 29 日, 中国 原 邮电 部 电信 科学 技术 研 
究 院 ( 大 唐 电 信 ) 向 ITU 提出 ,但 技术 发 明 始 于 西门 子 公 司 。TD-SCDMA 具有 辐射 低 的 特 
点 ,被 誉 为 绿色 3G。 该 标准 将 智能 无 线 、 同 步 CDMA 和 软件 无 线 电 等 当今 国际 领先 技术 融 
于 其 中 ,在 频谱 利用 率 、 对 业务 支持 具有 灵活 性 、 频 率 灵 活性 及 成 本 等 方面 的 独特 优势 。 另 
外 ,由 于 中 国内 地 庞大 的 市 场 , 该 标准 受到 各 大 主要 电信 设备 厂商 的 重视 ,全 球 一 半 以 上 的 
设备 厂商 都 宣布 可 以 支持 TD-SCDMA 标准 。 该 标准 提出 不 经 过 2. 5 代 的 中 间 环 节 ,直接 
向 3G 过 渡 ,非常 适用 于 GSM 系统 向 3G 升级 。 军 用 通信 网 也 是 TD-SCDMA 的 核心 任务 。 
相对 于 另外 两 个 主要 的 3G 标准 CDMA2000 和 WCDMA, 它 的 起 步 较 晚 ,技术 不 够 成 熟 。 

@ WiMAX。WiMAX(CWorldwide Interoperability for Microwave Access ,微波 存 取 全 
球 互通 ) 又 称 为 802。16 无 线 城 域 网 ,是 一 种 为 企业 和 家 庭 用 户 提 供 “ 最 后 一 英里 ”的 宽带 无 
线 连接 方案 。 将 此 技术 与 需要 授权 或 免 授 权 的 微波 设备 相 结 合 之 后 ,由 于 成 本 较 低 ,将 扩大 
宽带 无 线 市 场 ,改善 企业 与 服务 供应 商 的 认 知 度 。2007 年 10 月 19 日 ,在 国际 电信 联盟 在 
日 内 瓦 举行 的 无 线 通 信 全 体会 议 上 ,经 过 多 数 国家 投票 通过 , WiMAX 正式 被 批准 成 为 继 
WCDMA CDMA2000 和 TD-SCDMA 之 后 的 第 4 个 全 球 3G 标准 。 

(4) 3G 的 安全 要 求 有 哪些 ? 

O 保证 业务 接 入 的 需要 。 除 紧急 呼叫 外 , 接 入 任何 第 三 代 移动 通信 系统 的 业务 都 需要 
一 个 有 效 的 USIM, 由 网 络 决定 紧急 呼叫 是 否 需要 USIM。 应 防止 入 侵 者 通过 伪装 成 合法 
用 户 来 越权 接 入 3G 业务 。 用 户 可 以 在 业务 开始 、 传 送 期 间 验 证 服务 网 络 是 合法 的 ,以 用 户 
归属 环境 提供 3G 业务 。 

@ 保证 业务 提供 的 需要 。 对 业务 提供 者 可 以 在 业务 开始 、 传 送 期 间 验 证 用 户 的 合法 
性 ,以 防止 人 侵 者 通过 伪装 或 误 用 权限 来 接 和 人 3G 业务 。 应 能 检测 和 阻止 欺诈 性 的 使 用 业 
务 和 安全 有 关 的 事件 发 生 时 可 以 向 业务 提供 者 报警 并 产生 相应 的 记录 。 应 防止 使 用 特殊 的 
USIM 接 入 3G 业务 。 对 某 些 用 户 , 服 务 网 络 提供 的 归属 环境 可 以 立即 停止 它 所 提供 的 所 
有 业务 。 对 服务 网 络 ,在 无 线 接口 上 可 以 验证 用 户 业 务 、 信 令 数 据 和 控制 数据 的 发 起 者 。 
通过 逻辑 手段 限制 业务 的 获得 来 阻止 人 侵 者 。 对 于 网 络 运营 商 , 应 加 强 基础 网 络 的 安 
全 性 。 

@ 满足 系统 完整 性 的 需要 。 应 防止 越权 修改 用 户 业 务 ,防止 越权 修改 某 些 信 令 数据 和 
控制 数据 ,特别 是 在 无 线 接口 上 。 防 止 越权 修改 的 和 用 户 有 关 的 数据 下 载 到 或 存储 在 终端 / 
USIM 中 。 防 止 越权 修改 由 提供 者 存储 或 处 理 的 和 用 户 有 关 的 数据 。 应 保证 可 以 检查 应 用 
和 下 载 到 终端 /UICC 中 的 数据 的 起 源 和 完整 性 。 还 应 保证 下 载 的 应 用 和 数据 的 保密 性 。 
应 保证 验证 数据 的 由 来 、 完 整 性 及 最 新 的 ,特别 是 无 线 接口 上 的 密 钥 。 应 保证 基础 网 络 的 安 
全 性 。 

@ 保护 个 人 数据 的 要 求 。 应 可 以 保证 某 些 信 令 数 据 和 控制 数据 、 用 户 业 务 、 用 户 身 份 
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数据 ,用户 位 置 数据 的 保密 性 ,特别 是 在 无 线 接口 上 。 应 防止 参与 一 个 特定 3G 业务 的 用 户 
位 置 数据 不 必要 地 泄露 给 同一 业务 的 其 他 参与 者 。 用 户 可 以 检查 他 的 业务 及 与 呼叫 有 关 的 
信息 是 否 需要 保密 。 应 可 以 保证 由 提供 者 存储 或 处 理 的 和 用 户 有 关 的 数据 的 保密 性 。 应 可 
以 保证 由 用 户 存储 在 终端 或 USIM 中 和 用 户 有 关 的 数据 的 保密 性 。 

@ 对 终端 /USIM 的 要 求 。 应 可 以 控制 接 人 到 一 个 USIM, 以 便 用 户 只 使 用 它 来 接 入 
3G 业务 。 可 以 控制 获得 USIM 中 的 数据 ,如 某 些 数据 只 有 授权 的 归属 环境 才能 获得 。 不 
能 获得 只 在 USIM 中 使 用 的 数据 ,如 验证 密 钥 和 算法 。 可 以 检测 出 是 否 是 偷窃 的 终端 。 可 
以 禁止 某 些 终端 接 入 3G 业务 。 改 动 终端 的 身份 很 困难 。 

@ 合法 的 窃听 的 要 求 。 依 照 国家 相关 法 律 ,3G 应 该 可 以 为 执法 机 构 提 供 检测 和 窃听 
每 一 个 呼叫 和 呼叫 尝试 ,用 户 行 为 相关 的 呼叫 和 其 他 的 服务 。 这 可 以 通过 相应 设备 或 通过 
在 服务 网 络 或 归属 环境 中 设置 接口 来 实现 。 

6. 论述 题 

未 来 3G 系统 的 安全 将 可 以 从 哪 几 个 方面 加 以 发 展 和 完善 ? 

QO@ 建立 适合 未 来 移动 通信 系统 的 安全 体系 结构 模型 。 例 如 ,在 网 络 安全 体系 结构 模型 
中 ,应 能 体现 网 络 的 安全 需求 分 析 、 实 现 的 安全 目标 等 。 

@ 由 私 钥 密码 体制 向 混合 密码 体制 的 转变 。 未 来 移动 通信 系统 中 ,将 针对 不 同 的 安全 
特征 与 服务 ,采用 私 钥 密码 体制 和 公 钥 密码 体制 混合 的 体制 ,同时 尽快 建设 无 线 公 钥 基础 设 
施 (WPKDD ,建设 中 国 移动 的 以 CA( 认 证 中 心 ) 为 核心 的 安全 认证 体系 。 

@ 安全 体系 向 透明 化 发 展 。 未 来 的 安全 中 心 应 能 独立 于 系统 设备 ,具有 开放 的 接口 ， 
能 独立 地 完成 双向 鉴 权 、 端 到 端 数据 加 密 等 安全 功能 ,其 至 对 网 络 内 部 人 员 也 是 透明 的 。 

@ 新 密码 技术 的 广泛 应 用 。 随 着 密码 学 的 发 展 以 及 移动 终端 处 理 能 力 的 提高 ,新 的 密 
码 技术 如 量子 密码 技术 ,椭圆 曲线 密码 技术 、 生 物 识别 技术 等 将 在 移动 通信 系统 中 获得 广泛 
应 用 ,加 密 算法 和 认证 算法 自身 的 抗 攻 击 能 力 更 强健 ,从 而 保证 传输 信息 的 机 密 性 、 完 整 性 、 
可 用 性 、 可 控 性 和 不 可 否认 性 。 

@ 移动 通信 网络 的 安全 措施 更 加 体现 面向 用 户 的 理念 。 用 户 能 自己 选择 所 要 的 保密 
级 别 , 安 全 参数 既 可 由 网 络 默 认 , 也 可 由 用 户 个 性 化 设 定 。 


第 10 章 


1. 名 词 解 释 

(1) 蠕虫 : 是 指 通 过 计算 机 网 络 进 行 自 我 复制 的 恶意 程序 ,泛滥 时 可 以 导致 网 络 阻 塞 
和 瘫痪 。 

(2) 数据 加 密 : 按照 确定 的 密码 算法 把 敏感 的 明文 数据 变换 成 难以 识别 的 密 文 数据 ， 
通过 使 用 不 同 的 密 钥 ,可 用 同一 加 密 算法 把 同一 明文 加 密 成 不 同 的 密 文 。 

(3) 数据 传输 安全 : 数据 在 传输 过 程 中 必须 要 确保 数据 的 安全 性 、 完 整 性 和 不 可 自 
改 性 。 

2. 填空 题 

(1) 病毒 ”蠕虫 木马 “不 受 欢迎 应 用 程序 “远程 攻击 ”人 员 威 胁 等 ( 填 4 项 即 可 ) 

(2) 客户 端 ” 使 用 动态 Web 内 容 技术 的 部 分 “数据库 

(3) 屏 幕 转换 及 仿真 中 间 ”数据 库 访 问 中 间 件 ”消息 中 间 件 ”交易 中 间 件 ”应 用 服务 
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器 中 间 件 ”安全 中 间 件 ( 填 4 项 即 可 ) 

(4) 机 密 性 ”完整 性 ”可 用 性 

(5) 磁盘 阵列 ”数据 备份 ” 双 机 容错 ”NAS 数据 迁移 ”异地 容 灾 SAN( 填 4 项 即 可 ) 

(6) 数据 独立 性 ”数据 安全 性 ”数据 完整 性 ”并 发 控制 ”故障 恢复 

(7) 基础 设施 即 服 务 (IaaS) 平台 即 服务 (PaaS) ”软件 即 服 务 (SaaS) 

3. 选择 题 

(1 A BICD: 2) BIC (37 有 .BID (BJC (5) ABCJDE (ACD 
《7 A BC “(8 AD 

4. 简 答 题 

(1) 许多 特殊 技术 允许 攻击 者 危害 远程 系统 安全 ,请 简单 介绍 几 个 类 别 。 

@ DoS 攻击 。DoS( 拒 绝 服务 ) 是 一 种 使 计算 机 资源 对 其 目标 用 户 不 可 用 的 攻击 。 受 
到 DoS 攻击 的 计算 机 通常 需要 重新 启动 ,否则 它们 将 无 法 正常 工作 。 受 影响 用 户 之 间 的 通 
信 会 受到 阻塞 ,无 法 以 正常 方式 继续 执行 。 在 大 多 数 情况 下 ,此 攻击 的 目标 是 Web 服务 器 ， 
目的 在 于 使 用 户 在 一 段 时 间 内 无 法 访问 它们 。 

@ DNS 投 毒 。 通 过 DNS( 域 名 服务 器 ) 投 毒 方法 ,黑客 可 以 欺骗 任何 计算 机 的 DNS 服 
务 器 ,使 其 相信 它们 提供 的 虚假 数据 是 合法 .可 信 的 。 然 后 ,虚假 信息 将 缓存 一 段 时 间 。 例 
如 ,攻击 者 可 以 改写 IP 地 址 的 DNS 回复 。 因 此 ,尝试 访问 Internet 网 站 的 用 户 将 下 载 计算 
机 病毒 或 晴 虫 ,而 不 是 初始 内 容 。 

@ 端口 扫描 。 端 口 扫描 控制 网 络 主机 上 是 否 有 开放 的 计算 机 端口 。 端 口 扫 描 程 序 是 
用 于 查找 此 类 端口 的 软件 。 计 算 机 端口 是 处 理 传人 和 传 出 数据 的 虚拟 点 ,从 安全 角度 来 说 
它 非常 重要 。 在 大 型 网 络 中 ,端口 扫描 程序 收集 的 信息 可 能 有 助 于 识别 潜在 漏洞 。 此 类 使 
用 是 合法 行为 。 不 过 ,试图 破坏 系统 安全 的 黑客 也 经 常 使 用 端口 扫描 。 他 们 第 一 步 是 向 每 
个 端口 发 送 数据 包 。 根 据 响应 类 型 ,可 以 确定 哪些 端口 正在 使 用 中 。 扫 描 本 身 不 引起 破坏 ， 
但 请 注意 ,此 活动 可 暴露 潜在 漏洞 并 允许 攻击 者 控制 远程 计算 机 。 建 议 网 络 管理 员 阻止 所 
有 不 使 用 的 端口 ,保护 正在 使 用 的 端口 免 遭 未 经 授权 的 访问 。 

@ TCP 去 同步 化 。TCP 去 同步 化 是 TCP 支持 攻击 中 使 用 的 技术 。 它 由 进程 触发 ,在 
该 进程 中 传人 数据 包 的 序列 号 与 预期 序列 号 不 同 。 具 有 非 预 期 序列 号 的 数据 包 将 被 拒绝 
(或 者 保存 在 缓存 存储 区 中 ,如果 它们 出 现在 当前 通信 窗口 中 的 话 ) 。 在 去 同步 化 状态 下 ,两 
个 通信 端点 都 会 拒绝 收 到 的 数据 包 。 此 时 ,远程 攻击 者 可 以 渗透 并 提供 带 有 正确 序列 号 的 
数据 包 。 攻 击 者 甚至 可 以 使 用 命令 操纵 通信 ,或 者 以 其 他 方式 修改 通信 。TCP 支持 攻击 的 
目的 在 于 中 断 服务 器 与 客户 端 通信 或 点 对 点 通信 。 

@@ SMB 中 继 。SMBRelay 和 SMBRelay2 是 能 够 对 远程 计算 机 执行 攻击 的 特殊 程序 。 
SMBRelay 在 UDP 端口 139 和 445 上 接收 连接 ,中 继 客 户 端 和 服务 器 交换 的 数据 包 , 并 修 
改 它们 。 连 接 并 验证 后 ,将 断 开 客户 端 连接 。SMBRelay2 攻击 允许 远程 攻击 者 在 不 被 注意 
的 情况 下 读 取 、 插 入 和 修改 两 个 通信 端点 之 间 交 换 的 消息 。 受 到 此 类 攻击 的 计算 机 常常 停 
止 响应 或 意外 重新 启动 。 

@ ICMP 攻击 。ICMP(Internet 控制 消息 协议 ) 是 一 种 流行 且 广 泛 使 用 的 Internet 协 
议 。 它 主要 由 联网 计算 机 用 于 发 送 各 种 错误 消息 。 远 程 攻 击 者 试图 利用 ICMP 协议 的 弱 
点 。ICMP 设计 用 于 无 须 验 证 的 单 向 通信 。 这 允许 远程 攻击 者 触发 所 谓 的 DoS 攻击 ,或 允 
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许 未 经 授权 的 个 人 访问 传人 和 传 出 数据 包 的 攻击 。 典 型 ICMP 攻击 包括 ping flood ICMP_ 
ECHO flood 和 smurf attack。 受 到 ICMP 攻击 的 计算 机 速度 明显 减 慢 ,并 且 出 现 Internet 
连接 问题 。 

(2) 对 Web 应 用 的 整体 安全 工作 应 该 采取 哪些 具体 措施 ? 

@D Web 应 用 安全 评估 。 结 合 应 用 的 开发 周期 ,通过 安全 扫描 \ 人工 检 查 ,渗透 测试 、 代 
码 审计 和 架构 分 析 等 方法 ,全 面 发 现 Web 应 用 本 身 的 脆弱 性 及 系统 架构 导致 的 安全 问题 。 
应 用 程序 的 安全 问题 可 能 是 软件 生命 周期 的 各 个 阶段 产生 的 ,其 各 个 阶段 可 能 会 影响 系统 
安全 的 要 点 主要 有 : 

@ Web 应 用 安全 加 固 。 对 应 用 代码 及 其 中 间 件 、 数 据 库 ,操作 系统 进行 加 固 ,并 改善 其 
应 用 部 署 的 合理 性 。 从 补丁 ,管理 接口 ,账号 权限 文件 权限 .通信 加 密 和 日 志 审 核 等 方面 对 
应 用 支持 环境 和 应 用 模块 间 部 署 方式 划分 的 安全 性 进行 增强 。 

@ 对 外 部 威胁 的 过 滤 。 通 过 部 署 Web 防火 墙 \IPS 等 设备 ,监控 并 过 滤 恶 意 的 外 部 访 
问 , 并 对 恶意 访问 进行 统计 记录 ,作为 安全 工作 决策 及 处 置 的 依据 。 

@ Web 安全 状态 检测 。 持 续 地 检测 被 保护 应 用 页 面 的 当前 状态 ,判断 页 面 是 否 被 攻击 
者 加 入 恶意 代码 。 同 时 通过 检测 Web 访问 日 志 及 Web 程序 的 存放 目录 ,检测 是 否 存 在 文 
件 算 改 及 是 否 被 加 入 Web Shell 一 类 的 网 页 后 门 。 

@ 事件 应 急 响应 。 提 前 做 好 发 生 几 率 较 大 的 安全 事件 的 预案 及 演练 工作 ,力争 以 最 高 
效 ,最 合理 的 方式 申报 并 处 置 安全 事件 ,并 整理 总 结 。 

@ 安全 知识 培训 。 让 开发 和 运 维 人 员 了 解 并 掌握 相关 知识 ,在 系统 的 建设 阶段 和 运 维 
阶段 同步 考虑 安全 问题 ,在 应 用 发 布 前 最 大 程度 地 减少 脆弱 点 。 

(3) 请 比较 传统 安全 和 云 计算 安全 。 

云 计 算 的 运营 和 传统 IT 网 络 不 同 。 由 于 云 计算 最 初 是 在 企业 内 部 网 络 运 行 的 ,并 不 
对 外 开放 ,在 设计 之 初 没 有 太 多 考虑 安全 性 问题 ,从 而 导致 了 现在 云 计算 安全 的 一 系列 
问题 。 

@ 传统 的 IT 系统 是 封闭 的 ,存在 于 企业 内 部 ,对 外 暴露 的 只 是 网 页 服务 器 .邮件 服务 
器 等 少数 接口 ,因此 只 需要 在 出 口 设置 防火 墙 .访问 控制 等 安全 措施 ,就 可 以 解决 大 部 分 安 
全 问题 。 但 在 云 环境 下 , 云 暴 露 在 公开 的 网 络 中 ,任何 一 个 节点 及 它们 的 网 络 都 可 能 受到 攻 
击 , 因 此 安全 模式 需要 从 “ 拒 敌 于 国门 之 外 ”改变 为 全民 皆 兵 ,处 处 作战 ”。 

@ 相对 于 传统 的 计算 模式 将 信息 保存 在 自己 可 控制 的 环境 中 ,在 云 计 算 环境 下 ,信息 
保存 在 云 中 ,数据 拥有 和 管理 分 离 ,怎样 做 好 数据 的 隔离 和 保密 将 是 一 个 很 大 的 问题 。 

@ 在 云 环境 下 ,用 户 的 服务 系统 更 新 和 升级 大 多 数 是 由 用 户 在 远程 执行 的 ,而 不 是 采 
取 传 统 (在 本 地 按 版 本 更 新 ) 的 方式 ,每 一 次 升级 都 可 能 带 来 潜在 的 安全 问题 和 对 原 有 安全 
策略 的 挑战 。 

@ 云 计算 环境 相 比 之 前 的 技术 ,大 量 运用 虚拟 化 技术 ,怎样 解决 虚拟 化 方面 的 安全 又 
是 云 计 算 安全 与 传统 安全 的 又 一 重大 区 别 。 

@ 除了 技术 方面 ,还 有 一 个 比较 重大 的 问题 。 传 统 的 安全 技术 已 经 出 现 多 年 ,标准 法 
律 .法 规 都 相对 成 熟 ,而 现在 的 云 计算 安全 缺少 标准 ,而 且 政策 法 规 也 不 健全 ,再 加 上 云 计算 
自身 的 特点 ,数据 可 以 存储 在 世界 的 任何 一 个 角落 , 当 出 现 问 题 时 ,国家 政策 的 不 同 也 是 云 
计算 安全 的 一 个 重大 挑战 。 
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第 11 章 


1. 填空 题 

(1) 机 密 性 ” 密 钥 协商 ”节点 认证 ”信誉 评估 ”安全 路 由 
(2) 感知 层 ”网 络 层 支撑 层 ”服务 层 应 用 层 

2. 选择 题 

(yy ABD (BIC 3 有 EC 


期 末 考 试 模拟 试卷 (一 ) 


一 到 三 四 五 总 分 总 分 人 
分 值 15 20 30 24 11 100 
得 分 
评阅 人 一 、 选 择 题 (本 大 题 共 10 题 ,每 题 1.5 分 , 共 15 分 。 在 以 下 选择 


题 中 有 单 选 题 和 多 选 题 ,请 根据 题目 后 面 的 提示 ,将 正确 选项 前 的 字母 
填 在 题 后 的 括号 内 。 多 选 、 少 选 、 错 选 均 无 分 ): 


. 我国 的 信息 安全 法 律 法 规 体系 主要 包括 ( 。”)。 
A. 信息 系统 安全 保护 相关 法 律 法 规 

B. 互联 网 络 安全 管理 相关 法 律 法 规 

C. 盗版 侵权 的 相关 法 律 法 规 

D. 信息 安全 的 规范 标准 

. RSA 的 缺点 主要 包括 ( »s 

A. 产生 密 钥 很 麻烦 


B. 分 组 长 度 太 大 
C. RSA 密 钥 长 度 随 着 保密 级 别提 高 ,增加 很 快 
D. 安全 性 不 高 

.以 下 关于 防火 墙 技术 的 发 展 ,( “”) 是 正确 的 。 


A. 第 一 代 防 火 墙 , 采 用 包 过 滤 技术 

B. 第 二 代 防 火 墙 , 电 路 层 防 火 墙 

C. 第 三 代 防 火 墙 ,应 用 层 防 火 墙 

D. 第 四 代 防 火 墙 ,基于 动态 包 过 滤 技 术 , 后 来 演变 为 状态 监视 技术 
. 访问 控制 的 功能 主要 有 (  )。 

A. 防止 非法 的 主体 进入 受 保护 的 网 络 资源 

B. 保证 系统 数据 的 完备 性 

C. 允许 合法 用 户 访问 受 保护 的 网 络 资源 

D. 允许 合法 用 户 对 受 保护 的 网 络 资源 进行 非 授 权 的 访问 
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5. 


RSVP 是 第 三 层 协议 , 它 独立 于 各 种 网 络 媒介 。RSVP 有 两 个 重要 的 消息 : PATH 


消息 ,从 发 送 者 到 接收 者 ; RESV 消息 ,从 接收 者 到 始 发 者 。RSVP 消息 包含 的 信息 有 ( je 


A. 网 络 如 何 识别 一 个 会 话 流 

B. 用 户 数据 

C. 要 求 网 络 为 会 话 流 提供 的 服务 类 型 
D. 政策 信息 


. 我 国信 息 安全 测评 认证 体系 由 ( ”) 的 组 织 和 功能 构成 。 


A. 国家 信息 安全 测评 认证 管理 委员 会 

B. 国家 信息 安全 监理 会 

C. 国家 信息 安全 测评 认证 中 心 

D. 若干 个 产品 或 信息 系统 的 测评 分 支 机 构 


. 物 联网 安全 包括 (  )。 


A. 感知 层 安全 B. 客户 层 安 全 
C. 传输 层 安全 D. 硬件 层 安全 
8. 入 侵 检测 技术 包括 ( Ws 
A. 滥用 检测 B. 通用 检测 
C. 异常 检测 D. 安全 检测 
9. 支撑 系统 安全 域 的 安全 需求 有 ( ys 
A. 高 强度 的 用 户 认证 机 制 B. 稳健 的 操作 运行 平台 
C. 重要 系统 物理 隔离 D. 优化 系统 安全 策略 
10. 根据 中 间 件 作用 不 同 , 中 间 件 可 以 分 为 ( 入 
A. 目标 中 间 件 B. 数据 访问 中 间 件 
C. 远程 过 程 调用 中 间 件 D. 历史 中 间 件 
二 二 、 名 词 解释 题 (本 大 题 共 5 题 ,每 题 4 分 , 共 20 分 ): 
11. 密码 分 析 学 一 一 
12. 计算 机 病毒 一 一 
13. 安全 审计 一 一 
14. 容 侵 一 一 
15. 移动 通信 一 一 
得 分 | 评阅 人 


UU 


、 简 答题 (本 大 题 共 6 小 题 ,每 题 5 分 , 共 30 分 ): 


. 请 简单 介绍 AES 算法 的 方法 和 步骤 。 
. 设备 安全 策略 有 哪些 ? 

.进行 信息 安全 风险 评估 的 方法 有 哪些 ? 
. 黑客 攻击 有 哪些 典型 的 模式 ? 


20. 
21. 


期 末 考 试 模拟 试卷 两 套 


简 述 风险 分 析 计 算 原 理 。 
木马 病毒 藏身 方法 有 哪些 ? 


得 分 


评阅 人 


四 、 论 述 题 (本 大 题 共 3 小 题 ,每 小 题 8 分 , 共 24 分 ): 


22. 
23. 
24. 


请 介绍 一 下 信息 安全 体系 发 展 的 历史 和 现状 。 
密 钥 托管 思想 有 哪 几 种 ? 请 简单 介绍 一 下 。 
等 级 保护 技术 包括 哪些 方面 ? 


得 分 


评阅 人 


五 、 分 析 阐 述 题 (本 大 题 共 1 题 , 共 11 分 ): 


25. 


请 设计 一 个 物 联网 公共 安全 云 计 算 平 台 系 统 。 


期 末 考 试 模拟 试卷 (二 ) 


题 号 = = 三 四 五 总 分 总 分 人 


分 值 V5 20 30 24 11 100 


评阅 人 一 、 选 择 题 (本 大 题 共 10 题 ,每 题 1.5 分 , 共 15 分 。 在 以 下 选择 


题 中 有 单 选 题 和 多 选 题 , 请 根据 题目 后 面 的 提示 ,将 正确 选项 前 的 字母 
填 在 题 后 的 括号 内 。 多 选 、 少 选 、 错 选 均 无 分 ): 


lb 


2. 


数字 签名 的 功效 有 ( Ys 

A. 数字 签名 具有 唯一 性 

B. 能 确定 消息 确实 是 由 发 送 方 签名 并 发 出 来 的 

C. 数字 签名 能 确定 消息 的 完整 性 

D. 数字 签名 具有 保密 功能 

公 钥 加 密 系统 可 提供 的 功能 有 ( js 

. 机 密 性 。 保 证 非 授 权 人 员 不 能 非法 获取 信息 ,通过 数据 加 密 来 实现 

. 确认。 保证 对 方 属于 所 声称 的 实体 ,通过 数字 签名 来 实现 

. 数据 完整 性 。 保 证 信息 内 容 不 被 自 改 ,入 侵 者 不 可 能 用 假 消息 代替 合法 消息 , 通 

过 数字 签名 来 实现 

D. 不 可 抵赖 性 。 发 送 者 不 可 能 事后 否认 他 发 送 过 消息 ,消息 的 接收 者 可 以 向 中 立 
的 第 三 方 证 实 所 指 的 发 送 者 确实 发 出 了 消息 ,通过 数字 签名 来 实现 

密 钥 托管 的 重要 功能 有 ( 

A. 防 抵赖 性 B. 政府 监听 


P 只 > 
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C. 反 窃 听 D. 密 钥 恢复 
4. 人 侵 检测 利用 的 信息 一 般 来 自 (  )。 
A. 客户 的 需求 和 期 望 B. 系统 和 网 络 日 志文 件 
C. 目录 和 文件 中 不 期 望 的 改变 D. 系统 漏洞 
5. 信息 安全 标准 化 工作 的 发 展 趋势 是 (  )。 
A. 走 国际 化 合作 之 路 B. 走 商 业 化 发 展 之 路 
C. 明确 研究 方向 D. 有 很 好 的 商业 价值 
6. 要 构建 一 个 有 效 的 信息 安全 管理 体系 ,可 以 采取 的 方式 有 ( )。 
A. 建立 信息 安全 管理 框架 B. 具体 实施 构架 的 ISMS 
C. 精准 的 需求 分 析 D. 用 户 信息 和 访问 权限 控制 
7. 信息 安全 运行 管理 系统 应 能 支持 分 布 式 部 署 ,并 能 够 实现 分 安全 域 分 级 别管 理 。 应 
能 提供 的 功能 有 (  ”)。 
A. 安全 策略 管理 B. 安全 事件 管理 
C. 安全 对 象 风险 管理 D. 流程 管理 


8. 传感器 网 络 密 钥 管 理 研究 主要 考虑 的 因素 包括 (  )。 
A. 机 制 能 安全 地 分 发 密 钥 给 传感器 节点 
B. 共享 密 钥 发 现 过 程 是 安全 的 ,能 防止 窃听 、 仿 冒 等 攻击 
C. 部 分 密 钥 泄露 后 对 网 络 中 其 他 正常 节点 的 密 钥 安全 威胁 不 大 
D. 能 安全 和 方便 地 进行 密 钥 更 新 和 撤销 
9. 虚拟 化 解决 方案 设计 好 以 后 ,下 一 步 就 是 把 解决 方案 变 成 实际 的 系统 ,涉及 的 方面 


有 ( Ns 
A. 系统 需求 分 析 B. 物理 到 虚拟 的 转化 
C. 系统 的 稳健 性 和 易 操作 性 D. 实施 的 安全 性 
10. 云 架构 的 物 联 网 公共 安全 平台 的 特点 有 ( Ns 
A. 海量 数据 融合 能 力 B. 海量 数据 的 分 配 管理 能 力 
C. 架构 在 虚拟 层 上 的 进 阶 应 用 D. 存储 系统 的 静态 能 力 
分 汪 网 大 二 、 名 词 解释 题 (本 大 题 共 5 小 题 ,每 小 题 4 分 , 共 20 分 ): 
11. PKI 一 一 
12. 设备 安全 技术 一 一 
13. VPN 一 一 
14. 3G 一 一 
15. 数据 加 密 一 一 
得 分 | 评阅 人 


三 、 简 答题 (本 大 题 共 6 小 题 , 每 小 题 5 分 , 共 30 分 ) : 


16. 简单 介绍 数字 签名 技术 。 


21. 


期 末 考 试 模拟 试卷 两 套 


. 常用 的 数据 安全 防护 技术 有 哪些? 

. 物 联网 面临 的 安全 威胁 表现 在 哪些 方面 ? 

. 国内 外 物理 安全 技术 相关 标准 有 哪些 ? 

. 基于 网 络 的 人 侵 检测 系统 有 哪些 优点 和 缺点 ? 


基于 物 联网 本 身 的 特点 和 上 述 列举 的 物 联网 感知 层 在 安全 方面 存在 的 问题 ,需要 


采取 哪些 有 效 的 防护 对 策 ? 


得 分 


a a 四 、 论述 题 (本 大 题 共 3 小 题 ,每 小 题 8 分 , 共 24 分 )， 


22. 
23. 


PKI 的 优势 主要 表现 在 哪些 方面 ? 
无 线 传感器 网 络 可 能 遭遇 的 攻击 类 型 多 种 多 样 ,按照 网 络 模型 划分 ,主要 面临 的 威 


胁 有 哪些 ? 


24. 


防火 墙 硬件 体系 结构 经 历 过 通用 CPU 架构 、ASIC 架构 和 网 络 处 理 器 架构 ,请 简 述 


这 几 种 构架 的 特点 。 


得 分 


时 国人 五 、 分 析 闹 述 题 (本 大 题 共 1 题 , 共 11 分 )， 


25. 


请 设计 一 个 物 联网 机 房 监控 设备 集成 系统 。 


期 末 考 试 模 拟 试卷 (一 ) 部 分 参考 答案 


一 、 选 择 题 

1 2 $ 4 5 6 多 8 9 10 
AB | ABC | ABCD| AC | ABD | ACD | AC AC | ACD | BC 
其 他 题 略 。 

期 末 考 试 模拟 试卷 (二 ) 部 分 参考 答案 

一 、 选 择 题 

1 2 3 4 可 6 7 8 9 10 
BC |ABCD| ABD | BC | ABC | AB |ABCD | ABCD| BD | ABC 
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